セキュリティ&プライバシー基礎リテラシー:秘密情報・権限・データ取り扱い

セキュリティ&プライバシー基礎リテラシー:秘密情報・権限・データ取り扱い

新人が最低限回避すべき事故(秘密情報/権限/データ分類/誤公開等)と、チェックリスト運用を扱う。

対象読者

  • 開発/運用に参加し始めた新人エンジニア
  • 業務委託/外部メンバーを含むチーム

到達目標

  • 章立てに沿って、必要な成果物・判断基準をテンプレ/チェックリストとして再利用できる
  • チーム内の説明コスト(口頭補足/属人化)を下げ、レビュー観点を共有できる
  • セキュリティ事故の初動で、確認すべき論点を最小限に絞り込める
  • 秘密情報・個人情報・要配慮個人情報等の機微度の高い情報を区別し、AI/外部サービスへ投入してよいか判断できる
  • 漏えい疑いの初動で、証跡保全・隔離・影響範囲・報告/通知判断を分けて整理できる

読み方ガイド

  • まず目次を眺め、いま必要な成果物/判断がどこにあるかを特定する
  • 付録のテンプレ/チェックリストを先に読み、本文で意図と落とし穴を補完する
  • 章末のチェックリストをレビュー観点として運用に取り込む
  • AI/外部サービスへ情報を投入する場合は、第5章のデータ分類と付録チェックリストで可否を確認してから使う

Phase 4 横断レビューゲート

本書は基礎リテラシーの書籍である。詳細な実装手順や検証手順は、認証認可、インフラセキュリティ、ペネトレーションテストの専門書へ委ねる。本文を実務ルールや新人研修へ流用する前に、次を確認する。

  • 一次情報の確認日を残す: OWASP Top 10:2025、NIST Digital Identity Guidelines SP 800-63-4、NIST Privacy Framework 1.0、個人情報保護委員会の法令・ガイドライン、MITRE CWE Top 25 など、版や時点が変わる参照は PR body または Issue に確認日を記録する。
  • 認証・セッションは専門書の責務と分ける: 本書では MFA、共有アカウント禁止、セッション失効、ログマスキングの判断基準に絞る。OAuth / OIDC / JWT / Cookie / CSRF / CORS の実装判断は practical-auth-book 側のレビューゲートを参照する。
  • 秘密情報と個人情報を同時に扱う: トークン、Cookie、認証ログ、障害証跡は秘密情報と個人情報の両方を含み得る。Issue、PR、CI、AI/外部サービスへ貼り付ける前に分類、マスク、保存期間、削除条件を確認する。
  • 検証・演習は明示許可を前提にする: ペネトレーションテストや脆弱性検証に接続する教材利用では、対象、期間、禁止事項、停止条件、証跡保管を事前合意し、防御・教育目的を超える操作手順化を避ける。
  • レビュー完了をマージ条件にする: GitHub Copilot review の本文、inline comment、suggestion を全件確認し、必要な修正または対応不要理由を返信したうえで、未解決 review thread 0 を確認してからマージする。

前提知識

  • Git/GitHub の基本(Issue/PR)
  • クラウド/アカウントの基本概念(IAMなどの用語レベル)

用語メモ

  • IAM: 権限管理の基盤。第4章で最小権限と監査ログを扱う
  • 秘密情報: トークン/鍵/パスワードなど。第3章と付録テンプレを参照する
  • 個人情報: 個人を識別できる、または他情報と照合して個人を識別できる情報。第5章で扱う
  • AI/外部サービス投入: プロンプト、添付ファイル、ログ、スクリーンショットを外部のサービスへ渡す行為。外部共有として扱う
  • インシデント初動: 証跡保全/報告/隔離。第7章とチェックリスト集を参照する

詰まったときの導線

  • 秘密情報の扱いに迷ったら 第3章
  • 権限申請や最小権限で迷ったら 第4章
  • 個人情報や AI/外部サービス投入可否で迷ったら 第5章
  • 事故発生時の初動が曖昧なら 第7章
  • 実運用の確認観点は チェックリスト集 を使う

所要時間(目安)

  • 全章を通読: 2〜3時間(自分の環境・運用ルールに落とし込む場合は +1〜2時間)
  • 必要な章だけ読む: 20〜40分/章

注記: 既存の運用・権限設計の複雑さにより変動する。

目次

付録

利用と更新情報

Edit this page on GitHub