高瀬里見今回は「セキュリティ対策の三層構造」を学ぶよ。物理的・人的・技術的——この3つが揃って、はじめて組織は守られるの。
📋 今回学ぶ用語まとめ
さあ、今日も頑張っていきましょう!
| 用語 | 読み方 | 一言説明 | 身近な例え |
|---|---|---|---|
| 物理的セキュリティ対策 | ぶつりてき〜 | 建物・設備への物理的なアクセスを制限する対策 | 学校の校門に警備員を置いて、部外者が入れないようにすること |
| 人的セキュリティ対策 | じんてき〜 | 人のミスや内部不正を防ぐための教育・ルール | 「廊下では走らない」ルールや、避難訓練みたいなもの |
| 技術的セキュリティ対策 | ぎじゅつてき〜 | ソフトウェアやシステムによる自動防御 | スマホのロック画面、ウイルス対策アプリなど |
| クリアデスク | くりあですく | 離席時に机の上に情報を放置しない習慣 | 教室を出るとき、プリントを机の上に置きっぱなしにしないこと |
| クリアスクリーン | くりあすくりーん | 離席時にPC画面をロックする習慣 | 席を立つときに、スマホをうつ伏せにして画面を見えなくすること |
| ソーシャルエンジニアリング | そーしゃる〜 | 人を騙して情報を引き出す攻撃手法。技術ではなく「話術」で攻める | 「お父さんの会社の取引先です」と電話してお父さんの個人情報を聞き出すこと |
| 内部不正 | ないぶふせい | 社員や関係者が組織の情報を盗んだり、システムを悪用すること | バイト先の店員が、お客さんのクレカ情報をこっそりメモすること |
🕵️ 結城の偵察
結城のアパートの一室。深夜、ブルーライトだけが部屋を照らしている。
画面には、メタCの公式サイト、公式SNSアカウント、スタッフが書いたブログ記事——。
結城美雪技術的な壁は高い……でも、技術だけが攻撃じゃない。
フィッシングで慎也のアカウントを乗っ取った夜から、結城はずっとメタCのシステムを観察し続けていた。しかし佐藤のCSIRT体制は思ったより堅固だ。正面から技術的な攻撃を仕掛けても、すぐに検知されてしまう。
結城はゆっくりとコーヒーカップを置いた。視線がメタCのスタッフブログに止まった。
あるエンジニアが、今日の業務についてSNSに投稿していた。
「深夜まで作業した」「新機能のデプロイで手間取った」——。
結城美雪こんな投稿を見ていれば、深夜は監視が手薄になるタイミングがわかる。誰が何を担当しているかも。人間は必ず、どこかでミスをする——そのミスを引き出せばいい。
画面の検索窓に、ある言葉が打ち込まれた。
「ソーシャルエンジニアリング 実例」
💑 慎也と里見、メタCのカフェワールドで
翌日の夕方。慎也はメタCの「星空カフェワールド」に里見を呼び出した。
夜空を模したドーム型の空間に、小さなテーブルが点在している。VRならではの非現実的な美しさだ。
里見、来てくれてありがとう。先週のフィッシング件、ずっと引っかかってて……。俺、あのメール、全然疑わなかったんだよ。セキュリティって、システムだけじゃなくて、人間の問題でもあるんだって、やっと実感した。
高瀬里見慎也、それに気づいたの、すごく大事なことだよ。システムをいくら完璧にしても、人が騙されたらおしまい。セキュリティって、技術だけじゃなくて、物理的な対策と、人への対策も合わさって初めて機能するものなんだ。
山本慎也三本柱、みたいな?
高瀬里見そう。今日はその三本柱の話をしようか。
📖 里見の解説:セキュリティ対策の三層構造
里見はホワイトボードのオブジェクトを呼び出した。VRならではの便利さだ。
高瀬里見セキュリティ対策は、大きく3つに分けられるの。
物理的・人的・技術的——この三層構造で守るのが基本。
第1層:物理的セキュリティ対策
高瀬里見まず一番外側が「物理的」な対策。建物や設備への侵入を、物理的に防ぐ仕組みのこと。
主な対策例:
- 入退室管理(ICカード認証、生体認証)
- 監視カメラの設置
- サーバールームへの施錠
- 書類のシュレッダー処理
高瀬里見身近な例えで言うと、学校の校門に警備員さんを置くのと同じ。外から簡単に人が入れないようにする。どんなに優れたシステムでも、サーバー室に誰でも入れたら意味がないよね。
山本慎也なるほど、物理的に入らせない、か。
第2層:人的セキュリティ対策
高瀬里見次が「人的」な対策。人のミスや悪意を防ぐための、教育・ルール・管理のこと。
主な対策例:
- セキュリティ教育・訓練
- 就業規則への情報管理ルール明記
- 秘密保持契約(NDA)の締結
- 退職者のアクセス権限の速やかな削除
高瀬里見人はミスをする生き物だから——どれだけ良いシステムがあっても、使う人が訓練されてないと意味がない。
山本慎也……それ、俺のことだ。
高瀬里見フィッシングを見破れなかったのは、技術的な問題じゃなくて知識の問題。だから教育が一番の対策になるの。慎也が今セキュリティを学んでることは、立派な人的対策だよ。
慎也は少し照れながらも、真剣にメモを取った。
第3層:技術的セキュリティ対策
高瀬里見最後が「技術的」な対策。ソフトウェアやシステムが自動的に守ってくれる仕組み。スマホのロック画面や、ウイルス対策アプリのイメージ。技術が自動的に脅威を検知・ブロックしてくれる。
主な対策例:
- ファイアウォール
- マルウェア対策ソフト
- 暗号化
- 多要素認証
三層の関係
里見はホワイトボードに図を描いた。
外側:物理的対策(建物・設備・入退室管理)
↓
中間:人的対策(教育・ルール・文化)
↓
内側:技術的対策(システム・ソフト・自動化)三つは独立したものじゃなくて、重なり合って守るもの。一つが破られても、次の層で食い止める。これを「多層防御(ディフェンス・イン・デプス)」とも言うよ。
山本慎也じゃあ一つが破られても諦めない、ってこと?
高瀬里見そう。完璧な壁は存在しない。だからこそ、層を重ねるの。
🛡️ クリアデスクとクリアスクリーン
高瀬里見それから、人的対策で特に試験に出やすい習慣が2つある。
クリアデスク
高瀬里見「クリアデスク」は、席を離れるときに机の上に情報を残さないこと。学校で言うと、クラスの名簿が書かれたプリントを、休み時間に机の上に置きっぱなしにしないこと。誰でも見られる場所に情報を晒さない、という発想ね。
NG例:
- 書類をそのままにして会議室へ
- パスワードのメモを貼ったまま外出
- USBメモリを挿したまま離席
クリアスクリーン
高瀬里見「クリアスクリーン」は、席を離れるときにPCの画面をロックすること。スマホをうつ伏せにして、画面を見えなくするのと同じ感覚。ちょっとの離席でも、情報が漏れる可能性があるから。
NG例:
- トイレに行く間、ログインしたままのPCを放置
- 重要なメールを開いたまま離席
山本慎也……確かに、職場でみんなやってるな。画面ロック。
高瀬里見Windowsなら「Win + L」一発でできるから。習慣にしてる?
山本慎也……これからします。
⚡ 偵察の影
翌日、メタC佐藤からチーム宛(業務委託含む)に連絡が来ていた。
メタCの公式SNSアカウントに、不審なDMが届いていた。
「システム管理者の方ですか?緊急の確認事項があります」
という件名で、メタCの提携企業を名乗っていた。
幸い、担当スタッフが不審に気づいて返信せずに報告してくれた。しかし同様の手口は今後も来ると思っていい。今週中に全スタッフへの注意喚起と、緊急の人的セキュリティ研修を実施する。
慎也は画面を見て、嫌な予感がした。
典型的なソーシャルエンジニアリングの手口よ。人を騙して、情報や権限を引き出しにくる攻撃。こういうとき、技術的な対策じゃ防げないんですね。そうだ。だからこそ、人への教育が一番効く。
🔒 里見の追加解説:内部不正とソーシャルエンジニアリング
高瀬里見佐藤さんの話に出てきたけど、ここで2つの用語をちゃんと整理しておくね。
内部不正
「内部不正」は、会社の中にいる人——社員や関係者——が、情報を盗んだり、システムを悪用すること。外部からの攻撃より、実は内部の人間による漏洩の方が多いって知ってた?信頼していた人から情報が漏れるから、被害が大きくなりやすいの。
代表的な手口:
- 退職前に顧客リストを持ち出す
- 権限を利用して他人のデータを覗き見る
- システムに不正なアクセスをする
山本慎也……身内の方が怖いのか。
高瀬里見だから人的対策の中で、「職務分離(一人に権限を集中させない)」や「ログ監視」が重要になるの。誰がいつ何にアクセスしたか、記録を取り続けることで抑止力になる。
ソーシャルエンジニアリング
高瀬里見「ソーシャルエンジニアリング」は、技術を使わず、人の心理・信頼・焦りを利用して情報を騙し取る攻撃のこと。
代表的な手口:
| 手口 | 説明 | 例 |
|---|---|---|
| なりすまし | 権威ある人物や機関を名乗る | 「ITサポートです、パスワードを教えてください」 |
| 口実作り(プリテキスティング) | もっともらしい理由を作って情報を引き出す | 「調査のためにお聞きします」 |
| フィッシング | 偽のメールやサイトで情報を入力させる | 以前、慎也が被害を受けたもの |
| ショルダーハッキング | 肩越しに画面や手元を覗き見る | カフェでPCを使っているときに後ろから見られる |
高瀬里見一番やっかいなのは、これに技術対策が効かないこと。どんなに強固なファイアウォールがあっても、社員が騙されてパスワードを喋ったらおしまい。
山本慎也……だから教育と文化が一番大事なんだ。
高瀬里見そう。セキュリティは技術だけじゃない。人が守ろうとする文化が、最強の盾になる。
💑 夜、慎也と里見
里見との研修が終わった夜。慎也と里見はメタCの「夜の公園ワールド」でまた話していた。
山本慎也なんか……セキュリティって、人を疑う話ばかりだよな。内部不正とか、ソーシャルエンジニアリングとか、身内や、普通に接してくれてる人が実は……って考えると、なんか悲しくなる。
里見は静かに慎也の隣に座った。
高瀬里見わかる。でもね、疑うことと、信頼することって、実は違う話なんだよ。セキュリティは「この人を信じない」ってことじゃなくて、「万が一のときでも組織が守られる仕組みを作る」ってこと。
山本慎也……仕組みを作る、か。
高瀬里見佐藤さんが言う職務分離も、ログ監視も、教育も——それは社員を疑ってるんじゃなくて、誰かが失敗したり、悪意を持ったとしても、被害を最小限にする設計なの。人を信頼しながらも、人を守れる仕組み。
慎也はしばらく黙って空を見上げた。星が瞬く、作られた夜空。
山本慎也里見って、なんでそんなふうに考えられるんだろ。俺、メタCで里見に会って、セキュリティ学び始めて……守りたいものが増えたって、最近すごく感じてて。
高瀬里見……それ、あんまり大きな声で言わないほうがいいよ。恥ずかしいから。
山本慎也あ、ごめん。
高瀬里見……でも、ちょっと嬉しい。
夜の公園に、静かな沈黙が流れた。
😤 結城の悔しがり
結城美雪……見つかった。
結城は椅子の背にもたれ、天井を見上げた。
ソーシャルエンジニアリングを試みた。メタCのSNSアカウントに、偽の業者を名乗ってDMを送った。担当スタッフを騙して、内部の情報をほんの少しでも引き出せれば——そう思っていた。
しかし返信はなく、翌日には佐藤の動向からすぐに対策が打たれたことが推測できた。
結城美雪スタッフへの研修……。佐藤め、すぐに動いた。
慎也がセキュリティを学んでいる。里見が慎也に教えている。佐藤が組織全体を動かしている。三人が揃ったメタCは、思っていたよりずっと手強い。
結城美雪……三層か。物理的・人的・技術的。自分がいつも見下していた「教科書通りの対策」が、今は本当に機能している。
人的対策が強化されたなら次は技術的な対策の隙間を探すしかない。
まだ終わりじゃない。完璧なシステムは存在しない——慎也が守ろうとするものを、私は必ず壊す。
しかしその言葉の奥に、自分でも気づかない問いが、静かに沈んでいた。
——なぜ、そこまでするのか。
その答えは、まだ結城自身にも見えていなかった。
コメント