情報セキュリティの具体的な対策には大きく分けて以下の三つのカテゴリーがあります。
これらを情報セキュリティマネジメントとして体系的に整備する必要があります
- 物理的対策
- 技術的対策
- 人的・組織的対策
物理的な対策
不審者の侵入を防ぐための塀、入り口の鍵建物内部でのICカードなどによる入退出管理、監視カメラの設置等
技術的な対策
主にITシステムに対するもの。
ネットワークのファイアウオル、IDS/IPS、アンチマルウェアソフト、パスワード制御、暗号化等
人的・組織的対策
主に人事、就業管理や組織の業務に応じた情報セキュリティの整備、運用による対策を指す。「ソフトな対策」ともいわれる。
社員就業規則や内規での禁止行為・罰則の設定、リスク管理手順、日常的教育、訓練などが挙げられる。
これらの対策は、どれか一つだけでは済まされず、対象とする情報資産のセキュリティレベルに応じて多段階に行なわれ、多層防御(Defense in Depth) と呼ばれます。
期待される効果の対策を、さまざまに組み合わせて選択していくことが必要です。
例
- 社内の事務室への入退室はICカードによる入退室管理システムで制限(物理的対策)
- 事務所内の作業用PCは利用者ごとにIDとパスワードによって利用制限(技術的対策)
PC内に存在する重要な情報を内部犯行などから保護。
対策を行なうことで期待される効果
抑止 : 犯行の意思を削ぐ。犯行が困難だと思わせる。
防止 : 犯行の実行を妨げる。
検出 : 被害箇所や犯行の実施者の特定を行なう。
修復 : 被害が発生した場合に被害箇所を修復する。
復旧 : 業務を通常の状態に戻す。
代替手段 : 代替手段の適用。
何らかの問題が発生する前に、それを抑止・防止する手段を講じます。
すべての問題を防ぐことが出来るわけではないので、問題が発生した場合に速やかにそれを検出する必要があります。
問題を検出した場合、早急に元の状態に戻すと同時に、問題が再度発生しないように修復・復旧する必要があります。
このように通常、防止・検出・修復・復旧は一体として運用されます。