セキュリティ基礎シリーズFAQ

この教材の要約

会社ごとの差が大きいUSB、私物端末、生成AI、共有リンク、報告などの論点を、自己判断で断定しないためのFAQです。

概念図

FAQで扱う迷いやすい論点
├─ 端末、記録媒体
│  ├─ USB
│  └─ 私物端末
├─ 外部サービス
│  ├─ 生成AI
│  └─ 外部ストレージ
├─ 共有、コミュニケーション
│  ├─ チャット
│  └─ 共有リンク
└─ 初動
   └─ 事故か分からない段階の報告

はじめに

セキュリティ基礎では、一般原則は理解できても、「結局うちの会社ではどうなのか」で迷う論点が出やすくなります。
特に、生成AI、USB、私物端末、共有設定のように、組織のリスク許容度や管理体制で運用が変わる論点は、一般論だけで結論を固定できません。¹²

このFAQでは、特に質問になりやすい論点を整理します。

Q1. USBメモリは使ってよいですか

一般論では答えを固定できません。
会社により、全面禁止、承認制、暗号化前提、配布専用など扱いが大きく異なります。

結論

• 自己判断で使い始めず、自社ルールを確認してください

Q2. 私物端末を業務に使ってよいですか

これも会社差が大きい論点です。
BYODを認める会社もあれば、会社貸与端末のみの会社もあります。

利用可否は、端末管理、保存データ、認証方式、監査の前提と一体で決まります。¹

結論

• 利用可否、条件、許容範囲は自社ルールを確認してください

Q3. 生成AIにどこまで入力してよいですか

顧客情報、個人情報、機密情報、ソースコード、設定断片、内部ログの扱いは会社により違います。
匿名化したつもりでも十分でないことがあります。

デジタル庁のガイドブックでも、生成AI のリスクは利用形態、ユースケース、工程で変わると整理されています。²

結論

• まず自社の生成AI利用ルールを確認してください
• 不明なときは入力しない方が安全です

Q4. 社内資料なら社内チャットに何でも貼ってよいですか

「社内だから問題ない」とは限りません。
チャンネルの公開範囲、ログの残り方、再共有可能性を考える必要があります。³

結論

• チャットも機密性を意識して扱い、自社ルールと共有範囲を確認してください

Q5. 共有リンクは便利なので常に使ってよいですか

公開リンクやリンク共有は、設定次第で影響範囲が大きく変わります。
特に社外共有やリンク所持者全員への公開は注意が必要です。³

結論

• 共有方式と権限範囲を確認し、自社ルールに従ってください

Q6. 「少しだけ」なら外出先で作業してもよいですか

短時間かどうかより、周囲から見えるか、会話が聞かれるか、端末や紙を置き忘れないかが重要です。

結論

• 公共空間では画面、会話、置き忘れのリスクを意識してください
• 自社ルールで禁止や制限がないか確認してください

Q7. 事故かどうか分からないときも報告した方がよいですか

はい。⁴ 疑いの段階で共有した方が、結果的に被害拡大を防ぎやすくなります。

結論

• 確定を待たず、自社の報告手順に従って相談、報告してください

Q8. 技術職は共通基礎トラックを飛ばしてよいですか

いいえ。
端末、メール、共有、生成AI、SNS、初動は技術職にもそのまま必要です。

NIST の最新ガイドでも、共通の基礎と役割別の深掘りをつなげて育成する考え方が示されています。⁵

結論

• 共通基礎を踏まえたうえで技術専門へ進む構成を推奨します

次に読む

• セキュリティ基礎用語集
• セキュリティ基礎シリーズの使い方

関連トピック

関係	教材	使い方
次に読む	セキュリティ基礎用語集	FAQに出てくる用語を確認する
運用	セキュリティ基礎シリーズの使い方	教育担当者、メンターとしての使い方を確認する
ルール確認	業務で生成AIを使う前に知るべきこと	生成AI利用の入力可否へ戻る

参考資料（出典）

Footnotes

1. IPA, 「中小企業の情報セキュリティ対策ガイドライン」第4.0版を公開。組織ごとのルール整備、バックアップ、人材育成、通信制御などの基礎対策を更新。https://www.ipa.go.jp/pressrelease/2025/press20260327.html; CISA, Cross-Sector Cybersecurity Performance Goals。基礎対策を、組織の状況に応じて優先実装する考え方を示す。https://www.cisa.gov/cybersecurity-performance-goals ↩ ↩²

2. NIST, Artificial Intelligence Risk Management Framework (AI RMF 1.0)。AI 利用時のリスク管理原則を整理。https://www.nist.gov/publications/artificial-intelligence-risk-management-framework-ai-rmf-10; デジタル庁, テキスト生成AI利活用におけるリスクへの対策ガイドブック（α版）。生成AI のリスクを利用形態、ユースケース、工程ごとに整理。https://www.digital.go.jp/resources/generalitve-ai-guidebook ↩ ↩²

3. CISA, Recognize and Report Phishing。不審なメッセージや誘導 URL の見分け方と報告の基本を整理。https://www.cisa.gov/secure-our-world/recognize-and-report-phishing; フィッシング対策協議会, 利用者向けフィッシング詐欺対策ガイドラインの改定について。利用者向けフィッシング対策の最新版を公開。https://www.antiphishing.jp/report/guideline/consumer_guideline2025.html; NCSC, Secure communications principles。チャット、メール、会議ツールを含む業務コミュニケーションの安全な扱いを整理。https://www.ncsc.gov.uk/guidance/secure-communication-principles; NCSC, Using a cloud platform securely。共有方式、権限範囲、設定見直しの基本を整理。https://www.ncsc.gov.uk/collection/cloud/using-cloud-services-securely/using-a-cloud-platform-securely ↩ ↩²

4. NIST, SP 800-61 Rev. 3, Incident Response Recommendations and Considerations for Cybersecurity Risk Management。疑い段階からの報告と対応の流れを整理。https://csrc.nist.gov/pubs/sp/800/61/r3/final ↩

5. NIST, NIST Cybersecurity Framework 2.0: Cybersecurity, Enterprise Risk Management, and Workforce Management Quick-Start Guide (SP 1308)。共通基盤と役割別育成を結びつける考え方を整理。https://www.nist.gov/publications/nist-cybersecurity-framework-20-cybersecurity-enterprise-risk-management-and-workforce; NIST, NICE Framework: Current Versions。役割、タスク、知識、技能の最新整理を提供。https://www.nist.gov/itl/applied-cybersecurity/nice/nice-framework-resource-center/nice-framework-current-versions ↩