本文へスキップ
>_ITDITDセキュリティ対策プラットフォーム

学習

#セキュリティ基礎#組織#アクセス管理#インシデント対応

中規模〜大規模組織のセキュリティ最低限:チームで守る標準の土台

従業員が増えチームで開発・運用する組織が、最低限そろえるべきセキュリティの標準を1枚に。SSO・多要素認証の強制、退職者のアクセス失効、シークレット管理基盤、SBOMとCI/CD保護、SIEMとインシデント対応、教育まで、『アイデンティティ→秘密とサプライチェーン→アプリと基盤→検知と対応』の優先順位で、何から仕組み化するかを当サイトの視点で解説します。

公開日 2026-06-11 更新日 2026-06-11 11分で読める

対象:従業員が増え、チームで開発・運用する中規模〜大規模の組織で、「最低限そろえるべきセキュリティの標準が知りたい」人。個人・小規模の方は 個人開発・小規模運営のセキュリティ最低限 をどうぞ。ここでは攻撃手順は扱わず、規模に応じて標準とされる土台を優先順位つきでまとめます。

当サイトの視点:当サイトは小規模。これは『標準が要求するもの』の地図

正直に言うと、当サイト自身は小規模な運営なので、日々実践しているのは 個人・小規模版 の方です。本記事は、規模が上がったときに業界標準が求める土台を地図化したものです。ただし通底する原則は同じ——「優先順位の高い層から、仕組みとして埋める」。組織で増えるのは派手な技術ではなく、人とプロセスです。フィッシング・認証情報の窃取・退職者アクセスの放置・第三者経由の侵害が、規模が上がるほど主因になります。

Tier 0 — アイデンティティ統制

SSO・MFA強制・入退社の権限ライフサイクル・最小権限

Tier 1 — 秘密とサプライチェーン

シークレット基盤・短命クレデンシャル・SBOM・署名/来歴・CI/CD保護

Tier 2 — アプリと基盤

セキュアSDLC・SAST/DAST・WAF・ネットワーク分離・IaCスキャン

Tier 3 — 検知と対応

集中ログ/SIEM・アラート・IR計画/runbook・演習・DR復元

横断 — 人とガバナンス

責任者/チーム・ポリシー・教育・ベンダー管理・職務分掌・監査

組織版の優先順位マップ。個人版と骨格は同じだが、各層が『プログラム』になり、人とガバナンスが全体を貫く。
規模では最大の侵入口(フィッシング等)
退職者
放置アクセスが定番の穴
第三者
サプライチェーンが狙われる
仕組み化
一人技から恒常プログラムへ

Tier 0 — アイデンティティを統制する(最優先)

個人版の「王国の鍵」に相当します。規模では、王国の鍵はアイデンティティ基盤(IdP)と管理者アカウントです。ここを握られると組織全体が落ちます。

1

SSOで認証を一元化する

各サービス個別のログインをやめ、SSO(SAML/OIDC)で認証を一本化。アカウントの可視化・無効化を1か所で行えるようにする。
2

フィッシング耐性MFAを組織全体で強制

パスキー/物理キー(FIDO2)を標準に、例外なく必須化。SMSや任意設定は穴になる。管理者アカウントは特に厳重に。
3

入退社の権限ライフサイクルを自動化

入社で必要権限を付与、異動で見直し、退職で即失効。SCIM等で自動化し、放置された退職者アクセスを無くす(規模で最も多い穴)。
4

最小権限と特権アクセス管理

役割ベース(RBAC)で必要最小の権限に。管理者権限は常時付与せず、必要時だけ・期限付きで与える(ジャストインタイム)。

Tier 1 — 秘密とサプライチェーンを基盤化する

個人版の「秘密とコード」を、インフラとして恒常運用する段階です。手作業の .env 管理ではスケールしません。

1

シークレット管理基盤を導入

秘密はシークレットマネージャ(Vault/クラウドのKMS・Secrets Manager等)で集中管理。コードや設定に直書きしない方針を組織で徹底(→ .envと秘密情報)。
2

短命・動的なクレデンシャルへ

長命の固定キーを減らし、自動発行・自動失効される短命の認証情報に寄せる。ローテーションと監査ログを標準化。
3

部品表(SBOM)と署名・来歴

使っている依存を一覧化(SBOM)し、成果物に署名・来歴(プロベナンス)を付けて改ざんを検知。osv-scanner等の依存CVE監視は、その入口。
4

CI/CDパイプライン自体を守る

ビルド環境とパイプラインは高価値の標的。最小権限・秘密の隔離・改ざん検知を施す。サプライチェーン汚染の実例 → Codecov事件

Tier 2 — 既定で堅いアプリと基盤

個人版の「アプリ本体」を、開発プロセスと基盤の標準に格上げします。一人のレビューでなく、仕組みで担保します。

1

セキュアな開発プロセス(SDLC)

コードレビュー必須、自動テスト、SAST/DAST等の静的・動的解析をCIに組み込み、定番の穴(SQLiXSSSSRFIDOR)を機械で検出。
2

多層防御(WAF・分離・ゼロトラスト)

WAFで既知攻撃を緩和、ネットワークをセグメント分割、内部も暗黙に信頼しないゼロトラスト設計で、侵入後の横移動を止める。
3

基盤をコードとして安全に

IaC(Infrastructure as Code)に対する設定ミススキャン、ハードン済みのベースイメージ、既知CVEの放置を防ぐパッチ運用(→ CVEに後れを取らないしくみ・未パッチの代償 → Equifax事件)。

Tier 3 — 検知と対応を「機能」にする

侵入は前提。気づける・止血できる・立て直せるを、担当のいる機能として持ちます。

1

ログを集約し、異常を検知する

各システムのログを集中管理(SIEM等)し、危険な兆候にアラート。誰がいつ見るかまで決める。
2

インシデント対応計画とrunbookを用意

「誰が・何を・どの順で」を文書化(runbook)、オンコール体制、連絡網、外部報告義務の整理まで。漏れたら「全部漏れた」前提で全ローテ。
3

演習で実際に回せるか試す

机上演習(tabletop)で対応を予行する。計画は使われて初めて意味がある。
4

災害復旧(DR)と復元テスト

バックアップは3-2-1・暗号化・オフサイトに加え、組織では復旧目標(RTO/RPO)を定め、実際に復元できるかを定期試験。

横断 — 人とガバナンス(規模で効く本命)

技術の下に、組織だからこそ要る土台があります。ここが弱いと、上のどの技術も人の穴から崩れます

やりがちな失敗

  • ツールは入れたが所有者(担当)が不在
  • 退職者の権限・古いトークンが棚卸しされない
  • セキュリティ教育が無く、フィッシングで一発
  • 第三者ベンダーのリスクを評価していない

標準とすべき土台

  • セキュリティの責任者/チームとポリシーを置く
  • 定期のアクセス棚卸しと職務分掌(権限の集中を避ける)
  • 全社のセキュリティ教育(特に対フィッシング)
  • ベンダー/第三者リスク管理・データ分類・必要なら監査(SOC2/ISO27001)

個人版との関係

骨格は同じで、各層が「作業」から「プログラム」に育つだけ、と捉えるのが正解です。小さく始めて段階的に仕組み化していけます。だからまず 個人・小規模版 の優先順位を体に入れ、人が増えたら本記事の各層を「オーナーつきの恒常運用」に引き上げていく——その地続きの道として使ってください。

当サイトはどう考えているか

当サイトは小規模なので、日々は個人版の土台を自分に適用しています(専用サーバで分離・鍵の分離・秘密はgit非混入・依存CVE監視の自動化・オフサイトバックアップ)。本記事は「規模が上がったら標準がこう要求する」という地図です。一貫して言えるのは、派手な対策より先に、優先順位の高い層を仕組みとして埋めるということ。規模が変わっても、この順序の原則は変わりません。

次に読む

よくある質問

Q個人開発版とどこが一番変わりますか?
A

対策が『一人が回すチェックリスト』から『オーナーのいるプログラム』に変わります。優先順位(アイデンティティ→秘密とサプライチェーン→アプリと基盤→検知と対応)は同じですが、各層が仕組み・人・プロセスとして恒常運用される点が違います。

Q組織で最初に固めるべきは何ですか?
A

アイデンティティの統制です。SSOで認証を一元化し、組織全体でフィッシング耐性のある多要素認証を強制し、入退社にあわせて権限を自動で付与・失効(特に退職者のアクセス即失効)します。規模が上がるほど、放置された退職者アカウントが最大の侵入口になります。

Q依存スキャン(osv-scanner等)は組織でも最低限ですか?
A

はい。さらに規模では一歩進めて、部品表(SBOM)の作成、成果物への署名・来歴(プロベナンス)の付与、CI/CDパイプライン自体の保護まで含めるのが標準です。サプライチェーン経由の侵害は組織を狙う代表的な手口です。