みんなのセキュリティ

あなたの役割に応じたセキュリティ対策、正しく行えていますか?

作成者: 渋谷 祐司|Mar 25, 2026 1:59:59 AM

システムやネットワークにおけるセキュリティ上の欠陥や弱点を指す「脆弱性」。昨今、脆弱性に起因する情報システムへの不正アクセスや、システムの設定ミスによる情報漏洩などのセキュリティ事故が増加しています。

こうした状況を受けて、企業や自治体などの情報セキュリティに対する意識はますます高まっており、セキュリティ分野の解説記事やガイドラインなど、インターネットでもたくさんの情報が飛び交っています。
とはいえ、システムやネットワークの構成は組織によってさまざま。必要なセキュリティ対策や組織内の役割分担も、大きく異なります。いざセキュリティ対策を実施しようとしたとき、何をすればいいの……?と頭を悩まされる方も多いのではないでしょうか。

そこで今回は、一般的に必要とされるセキュリティ対策の例を、組織内のポジション(担当業務)ごとに整理しました。記事の後半では、それぞれのセキュリティ対策について具体的な実施内容を掘り下げて紹介しています。各ポジションで想定している担当業務とご自身の担当業務を照らし合わせながら、当てはまる部分を参考にしてみてください。
セキュリティ対策に何から手をつけたらいいか分からない……そんな皆さんにとって本記事が指標の一つになればと思います。

この記事で触れている担当ポジション

   

担当業務別!一般的に必要となるセキュリティ対策の例

このパートでは、ポジション(担当業務)ごとに求められる一般的なセキュリティ対策の例を紹介していきます。

想定される担当業務(役割)

サーバのハードウェアおよびハードウェア上で動作するミドルウェア(データベースやWebサーバ、アプリケーションサーバなど)について、保守や運用も含めた管理を担当します。

※小規模な組織や組織内の業務分担によっては、アプリケーション運用者やネットワーク管理者、社内IT管理者としての役割も兼ねている場合があります。
※この記事では本番環境のネットワークを管理する管理者を例として説明します。

想定されるネットワーク構成および管理責任範囲

一般的に必要とされるセキュリティ対策の例
  • サーバのセキュリティ管理
  • ID/アクセス権管理(OS/ミドルウェア)
  • マルウェア/ウイルス対策
  • コンプライアンス対応

想定される担当業務(役割)

[アプリケーション開発者]
ミドルウェア上で動作するアプリケーションの開発を担当します。

[アプリケーション運用者]
アプリケーション開発後における運用/保守の実施を担当します。小規模な組織や組織内の業務分担によっては、サーバ管理者やネットワーク管理者の役割も兼ねている場合があります。また、検証環境や開発用端末などの管理においては、サーバ管理者やネットワーク管理者、社内IT管理者の役割も兼ねている場合があります。

※アプリケーションの開発・運用形態は、それぞれが独立したチームとして存在する場合や、自組織内で開発/運用する場合、他社アプリケーションの開発/運用のみを受注する場合など、多岐にわたります。この記事ではアプリケーション開発と運用をひとまとめにして説明します。

想定されるネットワーク構成および管理責任範囲

一般的に必要とされるセキュリティ対策の例(Webアプリケーションの開発/運用を例とした場合)
  • Webアプリケーションのセキュリティ管理
  • ID/アクセス権管理(Webアプリケーション、関連するWebサービスなど)
  • コンプライアンス対応

想定される担当業務(役割)

ルータやスイッチなどのネットワーク機器や、外部へのインターネット通信などの通信経路について、保守や運用も含めて管理を担当します。

※小規模な組織、組織内の業務分担によっては、サーバ管理者やアプリケーション運用担当者、社内IT管理者としての役割も兼ねている場合があります。

想定されるネットワーク構成および管理責任範囲

一般的に必要とされるセキュリティ対策の例
  • ネットワークのセキュリティ管理
  • ID/アクセス権管理(ネットワーク機器など)
  • コンプライアンス対応

想定される担当業務(役割)

いわゆる情報システム部門のような立場です。従業員端末などの組織内で使用するOA端末/OA機器や、組織の中枢を担うサーバ、ネットワーク機器および通信経路について、保守や運用も含めて管理を担当します。

※組織内のセキュリティ向上を目的として、従業員向けに情報セキュリティ教育を展開する役割も担っている場合があります。

想定されるネットワーク構成および管理責任範囲

一般的に必要とされるセキュリティ対策の例
  • サーバのセキュリティ管理
  • ネットワークのセキュリティ管理
  • OA端末/OA機器のセキュリティ管理
  • ID/アクセス権管理(OS/ミドルウェア、OA端末、OA機器、各種Webサービスなど)
  • マルウェア/ウイルス対策
  • コンプライアンス対応
  • 従業員向けの情報セキュリティ教育

さらに深堀り!それぞれのセキュリティ対策における実施内容

ここからは、記事の前半で整理したそれぞれのセキュリティ対策について、より具体的な実施内容の一例をご紹介します。ご自身の担当業務についてポジションアイコンを参考に、どのようなセキュリティ対策に取り組むべきか考えてみましょう。

※文中のEOL/EOSについて、EOLはEnd Of Life、EOSはEnd Of Supportの略となります。いずれも製品の有効サポート期間のことを意味します。

サーバのセキュリティ管理

 

具体的な対策の実施内容
  • サーバOSやミドルウェア製品に対する脆弱性管理
    (設定変更、パッチ適用、バージョンアップなど)
  • サーバOSやミドルウェア製品に対するEOL/EOS(※)管理
  • ファイアウォールの適切な設定
    (Windows Defender ファイアウォール、iptablesなど)
  • サーバ内に保存されたデータの暗号化
  • 証明書管理(SSL証明書など)
  • ファイル改ざん検知(サーバ内システムファイルなど)
  • 監査ログの管理/監視(サーバログ、アクセスログ、ミドルウェアログなど)

なお、上記内容が適切に実施できているか検証する場合、一般的には以下のような方法を用いて検証を実施します。

  • セキュリティ診断(プラットフォーム診断)
  • ペネトレーションテスト

Webアプリケーションのセキュリティ管理

具体的な対策の実施内容
  • Webアプリケーションの脆弱性管理(SQLインジェクション対策、クロスサイトスクリプティング対策など)
  • 利用モジュール/ライブラリ/アドオンに対する脆弱性管理(設定変更、パッチ適用、バージョンアップなど)
  • 利用モジュール/ライブラリ/アドオンに対するEOL/EOS(※)管理
  • 仕様レビュー/設計レビュー(ビジネスロジックや暗号仕様など)
  • セキュアコーディングルールの策定・ファイル改ざん検知(Webページなど)
  • 監査ログの管理/監視(アクセスログ、アプリケーションログなど)

なお、上記内容が適切に実施できているか検証する場合、一般的には以下のような方法を用いて検証を実施します。

  • セキュリティ診断(Webアプリケーション診断、プラットフォーム診断、ソースコード診断)
  • ペネトレーションテスト

ネットワークのセキュリティ管理

 

具体的な対策の実施内容
  • ファイアウォール製品の導入および運用・保守
  • IPS/IDS/WAF製品の導入および運用・保守
  • ルータ/スイッチ/アクセスポイントに対する脆弱性管理(設定変更、パッチ適用、バージョンアップ、ファームウェアアップデートなど)
  • 通信経路の暗号化
  • 監査ログの管理/監視(アクセスログ、ネットワーク通信ログなど)

なお、上記内容が適切に実施できているか検証する場合、一般的には以下のような方法を用いて検証を実施します。

  • セキュリティ診断(プラットフォーム診断)
  • ペネトレーションテスト

OA端末/OA機器のセキュリティ管理

具体的な対策の実施内容
  • OS/利用ソフトウェアに対する脆弱性管理(設定変更、パッチ適用、バージョンアップなど)
  • OS/利用ソフトウェアに対するEOL/EOS(※)管理
  • セキュリティポリシーの策定/運用
  • 監査ログの管理/監視(OA端末のシステムログ/アプリケーションログ、アクセスログなど)
  • モバイルデバイス管理(盗難紛失時のリモート制御、モバイルアプリケーションのインストール制御、モバイルアプリケーションやOSのアップデート状況管理など)

なお、上記内容が適切に実施できているか検証する場合、一般的には以下のような方法を用いて検証を実施します。

  • セキュリティ診断(プラットフォーム診断)
  • ペネトレーションテスト

ID/アクセス権管理

   

ID/アクセス権管理に関するセキュリティ対策では、業務上必要なユーザアカウントに対し必要最小限の権限のみが付与されるように管理する必要があります。
また、特権ユーザアカウントと一般的に業務で利用するユーザアカウントは明確に分けておくことが一般的です。
なお、管理対象となるユーザアカウントの例として、以下のようなものがあります。

管理対象となるユーザアカウントの例
  • OSのユーザアカウント(AD:アクティブディレクトリも含む)
  • ミドルウェアのユーザアカウント(データベース、Webサーバなど)
  • ネットワーク機器のユーザアカウント
  • Webアプリケーション/Webサービスのユーザアカウント(管理者アカウント、利用者アカウントなど)

マルウェア/ウイルス対策

 

マルウェア/ウイルス対策に関するセキュリティ対策では、一般的に以下のような対応が実施されます。

マルウェア/ウイルス対策におけるセキュリティ対策の一例
  • マルウェア対策ソフト/ウイルス対策ソフトの導入
  • EDR(Endpoint Detection and Response)の導入

コンプライアンス対応

   

システムの特性や業種などによっては、コンプライアンス対応の一環としてセキュリティ対策の実施が要求される場合があります。
実施の必要があるセキュリティ対策の内容は、各国の関連法規/ガイドラインや業種などに依存しますが、セキュリティ対策の実施だけでなく、セキュリティ診断/ペネトレーションテストの実施についても必要となる場合があります。

セキュリティ対策ガイドラインの一例

[汎用的なセキュリティ対策ガイドラインの一例]

    • Application Security Verification Standard
      (ASVS:アプリケーションセキュリティ検証標準)
      →Webアプリケーション、Webサービスなどが対象となります。
    • CIS Benchmarks
      →OSやミドルウェア、クラウドサービスなどが対象となります。

[業種別のセキュリティ対策のガイドラインの一例]

  • Payment Card Industry Data Security Standard(PCI DSS)
    →クレジットカードの会員データを取り扱う企業などが対象となります。
  • 政府機関等のサイバーセキュリティ対策のための統一基準群
    →国の行政機関や独立行政法人などが対象となります。
  • 金融機関等コンピュータシステムの安全対策基準(FISC安全対策基準)
    →金融機関などが対象となります。

従業員向け情報セキュリティ教育

従業員向け情報セキュリティ教育の例として、以下のようなものがあります。

従業員向け情報セキュリティ教育の例
  • 情報セキュリティ研修(外部研修)や研修実施後の確認テストなどの導入
  • 標的型攻撃メール対策訓練
  • 情報セキュリティ事故事例の共有
Tips:CISO(最高情報セキュリティ責任者)の任命が推奨されています!


実際の情報セキュリティ対策の計画策定および実施にあたっては、組織の情報セキュリティ対策に関する統括責任者(CISO)を定め、組織全体としての観点で推進していくことが推奨されます。CISOは専任の統括責任者が任命されるか、社長が兼任している場合が一般的です。

CISOの任命が必要とされる主な理由
  • システムに求められるセキュリティ水準は業種やシステムの特性によって異なるため、組織としての情報セキュリティ対策のレベル感や、対応の優先度などを判断する責任者が必要となります。また、費用やリソース不足などの理由で一度にすべての情報セキュリティ対策を実施することが難しい場合、対応優先度についての判断も必要です。
  • セキュリティ対策における責任を整理・明確化し、対策の実施もれや考慮もれが発生することを防ぐため。各担当者が個別にセキュリティ対策を実施する体制では、担当者間で管理責任があいまいな機器や業務が存在した場合に対策もれが発生したり、担当者間の認識の相違などにより、意図せずセキュリティ上の問題が発生したりする場合があります。

まとめ

情報セキュリティ対策においては、サーバ管理者、ネットワーク管理者、アプリケーション開発・運用者、社内IT管理者などの各担当者がそれぞれの役割に応じて適切な対策を講じることで、組織全体におけるセキュリティを向上することができます。

ユービーセキュアでは、情報セキュリティ対策の導入・内製化支援や、セキュリティ診断サービスの提供、組織の情報セキュリティ対策に関するコンサルティングサービスなど、各担当者に合わせた具体的な幅広いソリューションを提供しています。ぜひ一度お気軽にお問い合わせください。
完全な記事を表示