STOP Inc.

セキュリティ教育と強化施策

2026.02.26
#SES #コンプライアンス #サイバーセキュリティ #セキュリティ強化 #セキュリティ教育 #常駐エンジニア #情報セキュリティ
セキュリティ教育と強化施策

セキュリティ教育と強化施策

SES現場で起きがちなリスクと最初にやるべきこと

常駐先ごとに規程・ツール・権限体系が違うのがSESの難所です。端末やアカウントがバラつくと、紛失・誤送信・権限過多が一気に増えます。初動でやるべきは「境界の明確化」と「標準装備の統一」、そして「教育を現場作業に埋め込む」ことです。

アクセスと端末の標準化

全エンジニアに共通の最低装備を定義します。必須は二要素認証、ディスク暗号化、画面ロック、MDM/EDR、パッチ自動適用。VPN依存だけにせず、端末健全性の確認と最小権限を組み合わせたゼロトラストで常駐先ネットワークに入る前に弾きます。リポジトリやチケットは案件ごとに分離し、SSOと条件付きアクセスで「時間・端末・場所」で制御。個人PCの持ち込みは原則不可、やむを得ない場合はコンテナ化や仮想デスクトップでデータを残さない運用にします。

データ取扱いの境界を決める

何を持ち出せて何を持ち出せないかを具体で決めます。例:顧客コードはクラウド上のみ閲覧可、ローカル保存禁止/設計書は機微区分「高」は共有リンク期限48時間/APIキーは保管庫経由、平文禁止/ログは個人特定情報が含まれる場合は自動マスキング。例外申請はJira等で起票→期限付き許可→自動失効までをテンプレ化します。

生成AIの利用ポリシー

ChatGPTやClaude、Gemini、Copilotなどは生産性を上げますが、入力データが学習や外部送信される前提を忘れないこと。機微データは原文投入禁止、匿名化・ダミー化の手順を教育に含めます。企業向け設定(履歴学習オフ、監査ログ有効)を条件とし、個人アカウント利用は不可。コード提案は必ずライセンス表示を確認し、秘匿情報(トークン、内部URL)が含まれないかのプレコミットスキャンを義務化します。

教育を運用に落とす:90日強化プラン

0〜30日:見える化と最低ラインの徹底

  • 資産台帳の整備(端末・アカウント・リポジトリ・SaaS)。未登録端末はネットワーク隔離。
  • 二要素認証の全社強制、パスワード管理ルール(長さ、再利用禁止、マネージャ必須)。
  • MDM/EDRの全台展開、紛失時の遠隔ワイプ手順を周知・訓練。
  • セキュリティ短時間学習(15分×5本)。フィッシング見分け方、データ分類、秘密情報の扱い、生成AIの注意点、事故時の初動連絡。

31〜60日:開発・運用にセキュリティを組み込む

  • CIにSAST/依存関係スキャン/シークレット検出を導入、ブロッキング閾値を定義。
  • プレコミットフックで鍵類・内部URLを弾く。レビュー観点に「権限・ログ・入力検証」を追加。
  • 擬似フィッシング訓練を開始(毎月)。報告ボタンをメールクライアントに常設。
  • インシデント初動の机上演習(30分)。連絡経路、封じ込め、ログ保全を確認。

61〜90日:クライアント別運用と継続改善

  • 常駐先ごとのアクセスRunbookを整備(入場/権限付与/JITアクセス/退場停止SLA)。
  • 監査ログの可視化ダッシュボードを作成(認証、権限昇格、リポジトリ操作)。
  • 脆弱性対応SLAを設定(高:7日、中:30日)。例外は期限付きで役割者承認。
  • 教育の定着度を業務で測る(誤クリック率、未管理端末率、秘密情報露出件数)。

現場を動かす仕組み:指標と運用ルール

測定指標(KPI)

  • 疑似フィッシング誤クリック率を6カ月で2%未満、報告率60%以上。
  • 端末管理カバレッジ95%以上(未管理端末は即遮断)。
  • 高リスク脆弱性のパッチSLA遵守率90%以上(7日以内)。
  • 退場時のアクセス停止平均15分以内、棚卸しは四半期ごとに全SaaSで実施。
  • シークレット露出件数ゼロ、発見から封じ込めまで60分以内。

ガードレールと避けたいアンチパターン

  • 例外は「期限・範囲・責任者」を記録して自動失効。無期限例外は作らない。
  • 教育は年1回の座学だけにしない。日次の開発フロー(CI、レビュー)に組み込む。
  • ルールの細かさより検出と是正の速さを優先。ログと自動化で回す。
  • 生成AIを一律禁止せず、ChatGPT/Claude/GeminiやCopilotの安全設定とレビュープロセスで活用域を定義する。

身近な企業の改善例:SES60名のケース

首都圏で60名規模のSES中心の開発会社。個人PCで常駐先のコードをローカルに落として作業していた担当者が端末を電車内で紛失。ディスク暗号化なし、トークンが平文で残っており、数時間で不審アクセスが発生。複数の鍵ローテーションと作業停止で顧客に影響が出ました。

対策として、貸与端末のMDM/EDR必須化、フルディスク暗号化、クラウドリポジトリのIP/端末制限とSSO連携、JITアクセスを導入。プレコミットで秘密情報をブロックし、CIでのスキャンを合格しないとマージ不可に。疑似フィッシングを月次で実施し、短時間のマイクロラーニングを隔週配信。生成AIは企業設定のChatGPT/Claudeのみ許可し、機微データはダミー化テンプレを通す運用に切り替えました。結果、誤クリック率は12%→1.8%、退場時のアクセス停止は平均2日→15分、シークレット露出は四半期3件→0件を継続。現場の声として「ルールが増えたのに作業は速くなった」が出たのは、教育が作業手順に埋め込まれたためです。

SESは現場ごとに前提が違います。だからこそ、共通の基盤(端末・認証・スキャン・教育)を最初に固め、クライアント別の差分はRunbookで吸収するのが実装しやすい道筋です。常駐エンジニアが安全に力を発揮できる環境づくりは、事業の信頼性と継続性を底上げします。

関連記事