【メモ】セキュリティ基礎シリーズ台帳
この台帳の目的
本台帳は、セキュリティ基礎シリーズをブログ形式の連載コンテンツとして実装するための制作設計書です。
前提は次のとおりです。
- 企画書①は「全員が事故を起こさないための行動教育」として扱う
- 企画書②は「技術者が守りを実装するための専門教育」として扱う
- 会社ごとの差が大きい論点は、固定ルールを書かず、自社ルール確認を促す記述にとどめる
- 演習素材やサンプルコードは置かず、記事単体で成立するケース演習として設計する
- 外部公開前提のため、社内窓口名や内部統制詳細は本文に書かない
シリーズ全体の設計方針
ブログ形式での見せ方
- 1記事1論点で分割し、読み切りやすさを優先する
- ただし、単発記事の寄せ集めにはせず、各記事を前後で接続して学習導線を持たせる
- 各記事の基本構成は「導入 / 学習目標 / なぜ必要か / 具体例 / 守るべき原則 / よくある誤り / ミニ確認 / 次に読む」で統一する
トラック設計
| 区分 | 対象 | 狙い |
|---|---|---|
| 共通基礎トラック | 業務で情報を扱う人 | 事故予防、行動定着、初動徹底 |
| 技術専門トラック | 技術領域 / セキュリティ初学者 | 設計、実装、構築、運用、対応の基礎体力づくり |
| 横断補助コンテンツ | 両トラック共通 | 導線整理、用語補助、学習継続支援 |
記事数の目安
- シリーズ入口: 3本
- 共通基礎トラック: 10本
- 技術専門トラック: 10本
- 横断補助コンテンツ: 4本
- 合計: 27本
執筆フェーズ
| フェーズ | 範囲 | 狙い |
|---|---|---|
| Phase 1 | 全体マップ、共通基礎の導入、技術専門の導入 | シリーズの入口を先に作り、迷わず読める状態にする |
| Phase 2 | 共通基礎の本編7本 | セキュリティ基礎の必修部分を先に完成させる |
| Phase 3 | 共通基礎のケース、確認、セルフチェック | 読むだけで終わらせず、理解確認まで閉じる |
| Phase 4 | 技術専門の本編8本 | セキュリティ技術入門の専門基礎を順に積み上げる |
| Phase 5 | 技術専門の演習、総括、学習地図、横断補助 | 次の学習への接続まで完成させる |
記事台帳
0. シリーズ入口
| 執筆順 | ファイル名 | 想定タイトル | sidebar_position | 役割 | 要旨 |
|---|---|---|---|---|---|
| 1 | new-grad-security-series-map.md | 【メモ】セキュリティ基礎シリーズの全体像 | 60541 | シリーズ総合案内 | 全体を「共通基礎」と「技術専門」に分ける理由を示し、どの読者がどこから読むべきかを案内する。両トラックの違い、読了後に得られる力、推奨読書順を整理する。 |
| 2 | new-grad-common-security-overview.md | 【メモ】セキュリティ基礎トラックの考え方 | 60542 | 共通基礎の導入 | 企画書①の目的を、事故予防、行動定着、初動徹底の3点で説明する。全職種に共通して必要な理由と、技術研修とは何が違うかを明確にする。 |
| 3 | new-grad-tech-security-overview.md | 【メモ】セキュリティ技術入門トラックの考え方 | 60543 | 技術専門の導入 | 企画書②の目的を、守られる側から守る側へ進む準備として説明する。技術職が一般啓発だけでは足りない理由と、以降の記事で何を扱うかを整理する。 |
1. 共通基礎トラック
| 執筆順 | ファイル名 | 想定タイトル | sidebar_position | 役割 | 要旨 |
|---|---|---|---|---|---|
| 4 | new-grad-common-information-assets.md | 【メモ】情報資産とセキュリティの基本 | 60544 | 共通基礎1 | 情報資産、機密性、完全性、可用性を初学者向けにかみ砕いて説明する。顧客情報、社内情報、営業秘密が日常業務でどう現れるかを具体例で示す。 |
| 5 | new-grad-common-identity-device.md | 【メモ】認証情報と端末の守り方 | 60545 | 共通基礎2 | パスワード、多要素認証、離席時ロック、端末持出し、覗き見防止を扱う。USBや私物端末は可否を断定せず、自社ルール確認の重要性を強く案内する。 |
| 6 | new-grad-common-mail-web-chat.md | 【メモ】メール・Web・チャットの事故予防 | 60546 | 共通基礎3 | 誤送信、BCC/CCミス、添付ミス、フィッシング、不審URL、チャットへの機密貼り付けを扱う。実務で踏みやすい判断ミスを具体的な場面で説明する。 |
| 7 | new-grad-common-cloud-sharing.md | 【メモ】クラウド共有とファイル管理の基本 | 60547 | 共通基礎4 | 共有範囲の誤設定、公開リンク、アクセス権、版管理、ローカル保存、無断アップロードを扱う。便利さと漏えいリスクが同時に存在することを理解させる。 |
| 8 | new-grad-common-generative-ai.md | 【メモ】業務で生成AIを使う前に知るべきこと | 60548 | 共通基礎5 | 機密情報、顧客情報、ソースコード、出力の真偽確認、著作権と二次利用の注意を扱う。ルールの細部は自社規程で確認すべきだと明示する。 |
| 9 | new-grad-common-sns-remote-work.md | 【メモ】SNS、外出先、在宅勤務での情報漏えい防止 | 60549 | 共通基礎6 | SNS投稿、写真への写り込み、名札、画面、ホワイトボード、外出先作業、在宅環境、移動中の会話を扱う。日常の軽い行動が事故につながることを見せる。 |
| 10 | new-grad-common-incident-response.md | 【メモ】事故を起こしたかもしれないときの初動 | 60550 | 共通基礎7 | 誤送信、マルウェア疑い、端末紛失などの場面で、隠さず、止めず、迷わず報告する原則を扱う。自分で消す、再起動する、返信するなどの自己判断を避ける考え方を説明する。 |
| 11 | new-grad-common-cases.md | 【メモ】遭遇しやすいセキュリティ事故ケース集 | 60551 | 共通基礎演習1 | 誤送信、誤共有、フィッシング、置き忘れ、生成AI誤入力などをケース形式でまとめる。読者に判断を考えさせ、本文末で推奨行動を示す。 |
| 12 | new-grad-common-quiz.md | 【メモ】セキュリティ基礎の確認テスト | 60552 | 共通基礎演習2 | 共通基礎の理解確認用の記事。単純暗記ではなく「この場面でどうするか」を問う短問で構成し、各問に簡潔な解説を付ける。 |
| 13 | new-grad-common-self-check.md | 【メモ】確認したいセキュリティ行動チェックリスト | 60553 | 共通基礎演習3 | 受講後の自己点検記事。日常行動、情報の扱い、異常時の動きについて、自分で確認できる形にする。実務で自社ルールを照合する導線も入れる。 |
2. 技術専門トラック
| 執筆順 | ファイル名 | 想定タイトル | sidebar_position | 役割 | 要旨 |
|---|---|---|---|---|---|
| 14 | new-grad-tech-foundation.md | 【メモ】セキュリティ技術入門で最初にそろえる基盤知識 | 60554 | 技術専門1 | TCP/IP、DNS、HTTP/HTTPS、証明書、OS、認証、認可、セッション、クラウド共有責任モデルを広く浅く整理する。以降の記事を読むための土台にする。 |
| 15 | new-grad-tech-web-vulnerabilities.md | 【メモ】Webアプリで押さえるべき代表的な脆弱性 | 60555 | 技術専門2 | SQLインジェクション、XSS、CSRF、パストラバーサル、OSコマンドインジェクション、ファイルアップロード不備を扱う。攻撃の考え方と防御の考え方を対で示す。 |
| 16 | new-grad-tech-authz-secrets.md | 【メモ】認証、認可、秘密情報管理の落とし穴 | 60556 | 技術専門3 | 認証突破、認可不備、セッション管理不備、パスワード保存、秘密情報のハードコード、鍵管理を扱う。なぜ事故が起きるかを設計視点で説明する。 |
| 17 | new-grad-tech-secure-coding.md | 【メモ】セキュア実装の基本原則 | 60557 | 技術専門4 | 入力値検証、出力エスケープ、安全なエラーハンドリング、依存関係更新、ライブラリ管理を扱う。脅威モデリングと結び付けて、実装上の原則へ落とし込む。 |
| 18 | new-grad-tech-infra-hardening.md | 【メモ】インフラとOSハードニングの基本 | 60558 | 技術専門5 | 不要サービス停止、ポート管理、設定不備、パッチ管理、構成管理、バックアップを扱う。インフラの弱さがどのように侵害へつながるかを説明する。 |
| 19 | new-grad-tech-iam-cloud.md | 【メモ】クラウドとIAMで守るべき最小権限の考え方 | 60559 | 技術専門6 | IAM、権限最小化、共有責任モデル、権限設計ミス、クラウド設定不備を扱う。便利さ優先で権限を広げる危険性と、レビューの観点を示す。 |
| 20 | new-grad-tech-logging-monitoring.md | 【メモ】ログ、監視、検知の初歩 | 60560 | 技術専門7 | 認証ログ、操作ログ、アプリケーションログ、監査証跡、アラート、誤検知、見逃しを扱う。ログは残すだけでは意味がなく、観測点の設計が必要だと説明する。 |
| 21 | new-grad-tech-incident-lifecycle.md | 【メモ】技術者として知っておくべきインシデント対応の流れ | 60561 | 技術専門8 | 検知、分類、優先度判断、隔離、封じ込め、根絶、復旧、再発防止を扱う。技術職が初動で何を考えるべきかを実務の流れで整理する。 |
| 22 | new-grad-tech-practice-cases.md | 【メモ】セキュリティ技術入門の演習ケース集 | 60562 | 技術専門演習1 | 脆弱な実装、設定不備、ログからの異常発見などを文章ベースのケースで出題する。演習素材なしでも、読者が防御観点を考えられる構成にする。 |
| 23 | new-grad-tech-final-review.md | 【メモ】セキュリティ技術入門の総合確認 | 60563 | 技術専門演習2 | 本編全体の確認記事。設計、実装、構成、監視、対応を横断して問う。各問いに「なぜその判断になるか」の短い解説を付ける。 |
3. 横断補助コンテンツ
| 執筆順 | ファイル名 | 想定タイトル | sidebar_position | 役割 | 要旨 |
|---|---|---|---|---|---|
| 24 | new-grad-security-faq.md | 【メモ】セキュリティ基礎シリーズFAQ | 60564 | 補助1 | 「どこまでが社外秘か」「生成AIに何を入れてよいか」「USBは使えるか」など、会社差が出やすい論点をFAQ形式で整理する。結論を断定せず、自社ルール確認を促す。 |
| 25 | new-grad-security-glossary.md | 【メモ】セキュリティ基礎用語集 | 60565 | 補助2 | 共通基礎と技術専門をまたいで登場する用語を簡潔に定義する。本文中の説明を肥大化させず、学習のつまずきを減らすための補助ページにする。 |
| 26 | new-grad-tech-learning-map.md | 【メモ】セキュリティ技術入門の学習地図 | 60566 | 補助3 | 実務の次段階で、開発、インフラ、運用、SOC/CSIRT候補が何を深掘りすべきかを整理する。企画書②の到達目標から次学習へ橋を架ける。 |
| 27 | new-grad-series-completion-guide.md | 【メモ】セキュリティ基礎シリーズの使い方 | 60567 | 補助4 | 受講者、教育担当者、メンターがどう使うかを整理する。どの記事を必修にするか、どこまで読めば基礎完了とみなすかの目安を示す。 |
推奨執筆順の考え方
まず作るべき記事
最初に作るのは、読者の迷子を防ぐための入口記事です。
new-grad-security-series-map.mdnew-grad-common-security-overview.mdnew-grad-tech-security-overview.md
この3本がないと、各記事の位置づけが読者に伝わりません。
次に共通基礎を固める理由
共通基礎コンテンツは対象が広く、記事数も比較的少なく、後続コンテンツの参照先にもなります。したがって、共通基礎を先に完成させると全体の土台が安定します。
優先順は次のとおりです。
- 情報資産と基本概念
- 認証情報と端末
- メール、Web、チャット
- クラウド共有
- 生成AI
- SNS、外出先、在宅
- 初動
- ケース集
- 確認テスト
- セルフチェック
技術専門を後半に置く理由
技術専門は前提知識の量が多く、書きぶりの精度も要求されます。そのため、シリーズ全体の文体とテンプレートを共通基礎で固めた後に展開した方が効率がよいです。
優先順は次のとおりです。
- 技術基盤
- Web脆弱性
- 認証、認可、秘密情報管理
- セキュア実装
- インフラハードニング
- IAMとクラウド
- ログ、監視、検知
- インシデント対応
- 演習ケース
- 総合確認
実装時の注意
- 会社固有ルールに踏み込む論点は、断定せず「自社ルールを確認してください」と明記する
- 事故例は、個人の不注意批判ではなく、業務環境で起こりやすい判断ミスとして描く
- 技術専門でも、攻撃手順の詳細再現より、防御観点と設計判断を中心に書く
- 各記事末に、次に読む記事を明示し、連載として回遊できるようにする
- 確認テスト記事は、採点システム前提にせず、自己採点できる構成にする
直近の制作順
次に着手する順序は、次の10本を推奨します。
| 優先 | ファイル名 | 理由 |
|---|---|---|
| 1 | new-grad-security-series-map.md | 全体導線の起点になるため |
| 2 | new-grad-common-security-overview.md | 共通基礎の目的を先に固定するため |
| 3 | new-grad-tech-security-overview.md | 技術専門の位置づけを早めに示すため |
| 4 | new-grad-common-information-assets.md | 全記事の共通語彙になるため |
| 5 | new-grad-common-identity-device.md | 初期事故が多い領域だから |
| 6 | new-grad-common-mail-web-chat.md | 頻出事故を先にカバーできるから |
| 7 | new-grad-common-cloud-sharing.md | SaaS業務で避けて通れないから |
| 8 | new-grad-common-generative-ai.md | 現代的な基礎教育で優先度が高いから |
| 9 | new-grad-common-sns-remote-work.md | 日常行動への接続がしやすいから |
| 10 | new-grad-common-incident-response.md | 共通基礎の締めとして初動原則を定着させるため |