[Capstone提出] セキュリティ衛生診断レポート

学習のねらい

いよいよCapstoneの最終レッスンです。これまでのレッスンで作成した「アカウント編」「端末・情報共有編」の診断結果を統合し、AI利用に関する考察を加えて、最終的な「セキュリティ衛生診断レポート」を完成させます。 レポート提出後、半年後の再点検日をカレンダーに登録し、継続的なセキュリティ対策の習慣化を目指しましょう。

Capstoneレポートの構成

提出するレポートは、以下の4つのセクションで構成されます。

1. アカウント編 — 主要アカウントの棚卸しと2FA再点検
2. 端末編 — PCとスマートフォンのセキュリティ設定
3. 情報共有編 — クラウドとSaaSの権限見直し、バックアップ状況
4. AI利用編 — AIツール利用におけるセキュリティリスクと対策

各セクションでは、「現状」「改善案」「期日」の3要素を明確に記述してください。

AI利用編 — セキュリティリスクと対策

AIツール (ChatGPT, Claude, Cursorなど) は非常に便利ですが、利用方法によっては情報漏えいのリスクを伴います。 特に、業務上の機密情報や個人情報をAIに誤って入力してしまうと、その情報が学習データとして利用されたり、外部に流出したりする可能性があります。

このセクションでは、AI利用におけるご自身の現状と対策を記述します。

• 現状:
  • どのようなAIツールを業務やプライベートで利用していますか？
  • 利用しているAIツールは、会社で利用が許可されていますか？
  • AIに機密情報を入力しないように意識していますか？
  • AIからの出力を鵜呑みにせず、ファクトチェックを行っていますか？
• 改善案:
  • 会社で許可されているAIツールのみを利用するようにする。
  • 機密情報をAIに入力しないための具体的なルール (例: 業務情報は専用のAIツール以外では使わない) を設定する。
  • AIの利用ガイドライン (会社やIPAなどが公開しているもの) を確認する。
• 期日: 改善案を実行する具体的な目標期日を設定します。

改善アクションの具体化

レポートに記載する改善案は、「いつまでに / 何を」を具体的に記述することが重要です。 たとえば、「パスワードを強くする」ではなく、「〇月〇日までに、X (旧Twitter) のパスワードを12文字以上の複雑なものに変更する」のように、 誰が読んでも実行可能なレベルまで落とし込みましょう。

半年後の再点検日をカレンダーに登録

レポートが完成したら、必ず半年後の日付でカレンダーに「セキュリティ衛生診断レポート再点検」という予定を登録してください。 この習慣が、ご自身のセキュリティレベルを継続的に高めていく上で最も重要です。 セキュリティは一度やったら終わりではなく、常に変化する脅威に対応し続けるプロセスだからです。

まとめ

このCapstoneレポートを通じて、ご自身のデジタル環境におけるセキュリティ対策の全体像を把握し、具体的な改善アクションを計画し、実行する力を養うことができました。 完成したレポートは、ご自身のセキュリティ衛生を維持するための羅針盤となります。 そして、半年後の再点検を忘れずに、継続的な学習と実践を続けていきましょう。