[https://www.youtube.com/watch?v=dJ4qOpV6kFY:embed:cite]

令和2年度秋期応用情報技術者試験の午後問1「情報セキュリティ」を徹底解説します。今回のテーマは「内部不正による情報漏えい対策」です。教育事業を行うA社を事例に、不正のトライアングル（動機・機会・正当化）に基づいた現状分析から、デバイス制御、メール承認、デジタルフォレンジックスといった具体的な技術的対策、さらには心理的な抑止効果まで、試験で問われる重要ポイントを網羅的に学習します。 本動画で解説する中心的なテーマは、組織内部の人間による不正行為、すなわち内部不正への対策です。まず押さえておくべき最重要概念が「不正のトライアングル」です。これは不正行為が「動機」「機会」「正当化」の3要素が揃った時に発生するという理論で、情報セキュリティ対策では特にシステム的な不備やルールの形骸化といった「機会」を低減させることが重視されます。具体的な技術的対策として登場するのが「デバイス制御機能」です。これは私物のUSBメモリなど、許可されていない可搬型記憶媒体の接続をPC管理システムによって拒否するもので、データの不正な持ち出しを防ぐ物理的な障壁となります。次にメールによる情報漏えい対策については、送信者本人の自己確認だけでは悪意ある持ち出しを防げないため、「上司による承認フロー」の導入が有効策として挙げられます。ここでは、いわゆるPPAP（パスワード付きZIPファイルの別送）では内部不正対策として不十分である理由も理解しておく必要があります。Webアクセス管理においては、業務に必要なサイトのみを許可するホワイトリスト方式が採用されますが、業務効率を下げないために、未登録サイトへのアクセスが必要になった際の正規の申請手続きを整備することも運用の肝となります。さらに、万が一インシデントが発生した際に重要となるのが「デジタルフォレンジックス」です。これは原因究明や法的な証拠性を確保するために電子的記録を収集・解析することを指します。本問では、DHCP環境下ではIPアドレスが変動するため、プロキシサーバのログだけでは個人を特定できないという課題が提示されています。これを解決するために「利用者認証」を導入し、ログと作業者IDを紐付けることで、誰が何をしたかを確実に追跡可能にする点が問われています。最後に、これらの監視体制やログ取得を強化している事実を社内に告知すること自体が、強力なセキュリティ対策となります。これは「不正をすれば必ず見つかる」「持ち出しは難しい」と認識させることで心理的なハードルを上げ、犯行の誘因を減らす「抑止効果」を狙ったものです。このように本問は、技術的な制御と心理的な抑止の両面から多層的な防御を構築する実践的な知識が求められます。