セキュリティ管理
カテゴリと機能タイプ
セキュリティ管理は、情報システムの保護を確保するために様々な管理策を講じる必要があります。
これらの管理策は、大きく分けて技術的、運用的、管理的の3つのカテゴリに分類されます。
さらに、それぞれの管理策は、機能タイプによって分類されることもあります。
これには、予防的、検知的、是正的、物理的、抑止的、補正的の6つの機能タイプがあります。
セキュリティ管理のカテゴリ
技術的管理策
技術的管理策は、システムやネットワークのハードウェアとソフトウェアを使用してセキュリティを確保するものです。
例:
ファイアウォール
暗号化
アクセス制御リスト(ACL)
ウイルス対策ソフトウェア
運用的管理策
運用的管理策は、日常の運用においてセキュリティを確保するための手順やプロセスを指します。これには、組織の運用方法に関連するすべての管理策が含まれます。
例:
セキュリティ教育とトレーニング
インシデント対応計画
バックアップとリカバリ手順
システム監視とログ管理
管理的管理策
管理的管理策は、ポリシーや手続きを通じてセキュリティを確保するものです。
これには、組織全体のセキュリティに関する方針、規則、標準、ガイドラインの策定が含まれます。
例:
情報セキュリティポリシー
リスク管理プロセス
監査とコンプライアンスチェック
人事管理(例えば、雇用前のバックグラウンドチェック)
セキュリティ管理の機能タイプ
セキュリティ機能
予防的管理策(Preventive Controls)
予防的管理策は、セキュリティインシデントの発生を未然に防ぐための管理策です。
例:
アクセス制御
ファイアウォール
暗号化
セキュリティポリシーの制定と教育
検知的管理策(Detective Controls)
検知的管理策は、セキュリティインシデントの発生を迅速に検知するための管理策です。
例:
侵入検知システム(IDS)
セキュリティ情報イベント管理(SIEM)
監査ログの分析
異常行動の検知
是正的管理策(Corrective Controls)
是正的管理策は、セキュリティインシデントの影響を最小限に抑え、通常の運用状態に戻すための管理策です。
例:
バックアップのリストア
インシデント対応計画の実行
セキュリティパッチの適用
感染システムの隔離
物理的管理策(Physical Controls)
物理的管理策は、物理的なアクセス制御や環境的な保護を通じてセキュリティを確保する管理策です。
例:
ロックされたドア
セキュリティカメラ
バッジシステム
防火システム
抑止的管理策(Deterrent Controls)
抑止的管理策は、セキュリティ違反を試みる者に対して抑止効果を持つ管理策です。
例:
警告サイン
厳格なセキュリティポリシー
監視カメラの明示
厳重な罰則の規定
補正的管理策(Compensating Controls)
補正的管理策は、他のセキュリティ管理策が十分でない場合に、その不足を補うための管理策です。
例:
二要素認証の追加
代替の監視システム
臨時のセキュリティ監査
暫定的なアクセス制御
まとめ
セキュリティ管理策を効果的に実施するためには、技術的、運用的、管理的の3つのカテゴリをバランスよく取り入れることが重要です。
さらに、それぞれの管理策が予防的、検知的、是正的、物理的、抑止的、補正的という多様な機能タイプをカバーすることで、
総合的なセキュリティ体制を構築し、組織の情報資産を保護することができます。
最終更新:2024年05月14日 10:36
