日商 Assist Biz

更新

企業を襲うサイバー脅威 情報セキュリティ対策の種類とその選択

情報セキュリティ対策は、一般に「技術的対策」「物理的対策」「人的対策」の3つに分類されます。技術的対策は、ファイアウォール、侵入検知システム(IDS)、ウイルス対策システム、認証システムなどセキュリティ対策の製品やソリューションを使った対策です。物理的対策は、防犯対策、入退管理、セキュリティワイヤーによる盗難防止など、施設や設備、備品への対策です。人的対策は、規程や手順書などのルール策定、従業員教育など、マネジメント面での対策です。

さらに、これらの対策は「防止(予防、抑止)」「検出」「対応」の3つの機能に分けられます。「防止」は、情報セキュリティインシデント(情報管理に関して保全上の脅威となる事象)が発生しないようにすることです。「検出」は、情報セキュリティインシデントが発生したことや、その兆候などを見つけることまでを含みます。「対応」は、発生した情報セキュリティインシデントの被害や影響を少なくすることです。

情報セキュリティ対策を効果的にするためには、これらの種類や機能を組み合わせて備えることが必要です。情報セキュリティ対策というと、人的対策や防止機能に偏ってしまう組織や企業が多いのですが、それでは十分ではありません。人的対策に偏ってしまうと、従業員に負担を掛けてしまいます。その結果、業務効率が低下したり、ヒューマンエラーが増えてしまったりすることもあります。つまり、ある対策に偏ることは、別のリスクを生んでしまうのです。

また、これまでの回で説明してきたとおり、情報セキュリティインシデントがなくなることはありません。そのため、情報セキュリティインシデントが発生したことを見つけられなければなりませんし、防止ができたかどうかを確認するためにも、検出機能が欠かせません。かつ、情報セキュリティインシデントを検出しただけでも十分ではありません。検出した情報セキュリティインシデントの被害や影響を少なくするための対応機能も必要になってきます。これらの機能すべてがバランスよく備わっていなければ、十分な情報セキュリティ対策にはなりません。

情報セキュリティ対策を検討する場合には、技術的対策、物理的対策、人的対策の3つと、防止、検出、対応の3つを組み合わせることで、網羅的かつ効果的にすることができるのです。

今回は、情報セキュリティ対策の種類とその選択について説明いたしました。次回からは、さまざまな情報セキュリティ対策について、より詳しく解説いたします。

長谷川長一(はせがわ・ちょういち) ソフトバンク、日本ユニシスを経て、株式会社ラックに入社。情報セキュリティ業界の先駆者として知られる同社で現在は、主にセキュリティ教育業務を担当している。『CISSP-行政情報セキュリティ公式ガイドブック』(アスキー出版)や『情報セキュリティ監査公式ガイドブック』(日科技連出版社)など著書多数

次の記事

長谷川長一

前回は、「情報セキュリティ対策の種類とその選択」について説明いたしました。今回からは、さまざまな情報セキュリティ対策について、より詳しく説明してまいります。最初は、…

前の記事

長谷川長一

「リスク対応」を選択する場合には、まず前回説明したリスク分析の結果に基づき、自社におけるそのリスクの発生の可能性と発生した場合の影響の度合いの検討の作業(「リスク算…

関連記事

長谷川長一

今回は人的脅威の中の非意図的なもの、「ヒューマンエラー」について取りあげます。「ヒューマンエラー」には、「誤操作」「設定ミス」「紛失・置き忘れ」「盗難」などがありま…

長谷川長一

今回は人的脅威の中の“意図的脅威”である情報セキュリティー上の「ルール違反」について取りあげます。「ルール違反」は、前回取り上げた「内部不正」と比較すると、軽いものと…

長谷川長一

今月からは、企業内部の人的脅威について取り上げます。情報セキュリティーにおける人的脅威には、意図的なものと非意図的なものがあります。まず今回は人的脅威の中でも意図的…