EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

■第6回 情報セキュリティ対策は、3つの種類(技術、物理、人)と3つの機能(防止、検出、対応)の組み合わせで考えるべし

  2013/11/07 07:00

 前回は、組織を取り巻くリスクを明らかにする「リスクアセスメント」について説明しました。これまでの回で説明した通り、情報セキュリティ対策を実施するには、組織を取り巻く情報セキュリティ上のリスクにどんなものがあり、それによってどのような被害や影響が発生する可能性があるのかを知らなければなりません。そのためにリスク分析が行われ、その結果から情報セキュリティ対策が決定されるのです。今回は、その情報セキュリティ対策の種類や機能、選択時の考慮点について解説いたします。

情報セキュリティ対策の種類と機能

 情報セキュリティ対策には、いくつか種類があります。一般に、技術的対策、物理的対策、人的対策の3つに分類されます。

図表1:情報セキュリティ対策の種類

 さらに、これらの対策は3つの機能に分けられます。

図表2:情報セキュリティ対策の機能

 情報セキュリティ対策を効果的にするためには、これらの種類や機能を備えることが必要です。情報セキュリティ対策というと、防止機能に偏ってしまう組織や企業が多いのですがそれでは十分ではありません。

 これまでの回で説明してきたとおり、情報セキュリティインシデントがなくなることはありません。そのため、情報セキュリティインシデントが発生したことを見つけられなければなりませんし、防止ができたかどうかを確認するためにも、検出機能が必要になるのです。

 そして、情報セキュリティインシデントを検出しただけでも十分ではありません。検出した情報セキュリティインシデントの被害や影響を少なくするための対応機能も必要になってきます。これらの機能すべてがバランスよく備わっていなければ、十分な情報セキュリティ対策とはなりません。

 情報セキュリティ対策を検討する場合には、技術的対策、物理的対策、人的対策の3つと、防止、検出、対応の3つを組み合わせることで網羅的かつ効果的にすることができます。

図表3:対策と機能の組み合わせ例

※この続きは、会員の方のみお読みいただけます(登録無料)。


※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • 株式会社ラック 長谷川 長一(カブシキガイシャラック ハセガワ チョウイチ)

    株式会社ラック セキュリティアカデミー  プロフェッショナルフェロー ソフトバンク、日本ユニシスを経て、現職。情報セキュリティコンサルティング、情報セキュリティ監査業務を経て、現在は主にセキュリティ教育業務を担当。政府機関やIT資格団体等の委員も務めている。主な所有資格は、CISSP。主な著書(共著)は、「情報セキュリティプロフェッショナル教科書」(アスキーメディアワークス)、「情報セキュリティ監査公式ガイドブック」(日科技連出版社)、「SSCP認定資格公式ガイドブック」 (NTT出版) Twitter : https://twitter.com/ChoichiHasegawa Facebook : https://www.facebook.com/choichi.hasegawa *この記事にある意見や見解は個人のものであり、所属する組織や団体を代表するものではありません。

バックナンバー

連載:図解!基礎から学び直す情報セキュリティ入門

もっと読む

All contents copyright © 2007-2022 Shoeisha Co., Ltd. All rights reserved. ver.1.5