皆さん、こんにちは！

情報セキュリティ対策と一口に言っても、パスワード設定からファイアウォール、監視カメラ、社員教育まで、本当に色々な種類がありますよね。これらは全て、組織の大切な情報資産を様々な脅威から守るための「お守り」や「武器」、「ルールブック」のようなものです。

実はこれらのセキュリティ対策（「セキュリティ管理策」または「セキュリティコントロール」）は、その 「目的」や「役割」 によって、いくつかのタイプに分類することができます。

今日は、代表的な7つのセキュリティ管理策のタイプについて、それぞれの特徴と具体例を一緒に見ていきましょう！これを知っておくと、どんな時にどんな対策が有効なのか、より深く理解できるようになりますよ。

セキュリティ管理策の7つのタイプ

① Directive Controls (指示的管理策) - 「こうしなさい！」と方向を示す司令官

どんな役割？:

組織のメンバー（従業員など）に対して、望ましい行動や従うべきルールを明確に指示・指導し、セキュリティポリシーや手順の遵守を促す管理策です。「正しい方向はこちらですよ！」「このルールを守ってくださいね！」と道筋を示す、まさに 「司令官」や「交通指導員」 のような役割です。

主な目的:

セキュリティに関する意識を高め、適切な行動を促すことで、インシデントの発生を未然に防いだり、発生時の対応をスムーズにしたりします。

具体例:

• セキュリティポリシー: 情報セキュリティに関する基本的な考え方やルールを定めた文書。
• 行動規範: 従業員が守るべき倫理的な行動基準。
• 作業手順書: 特定の作業（例：パスワード変更、データバックアップ）を安全に行うための具体的な手順。
• セキュリティ意識向上トレーニング: 従業員向けのセキュリティ教育や研修。
• 各種標識や掲示: 「関係者以外立入禁止」「機密情報取扱注意」といった注意喚起の表示。

キーワード:

指示、指導、教育、ポリシー、ルール、方針

② Deterrent Controls (抑止的管理策) - 「悪いことはやめとけよ！」と威嚇する番犬

どんな役割？:

潜在的な攻撃者や不正行為を試みようとする者に対して、「攻撃しても無駄だぞ」「見つかったら大変なことになるぞ」と思わせ、攻撃や不正行為を思いとどまらせる（抑止する） ことを目的とした管理策です。心理的な効果を狙った対策ですね。まるで 「番犬」や「警告看板」 のようです。

主な目的:

攻撃の意図をくじき、不正行為の試みを減らすこと。

具体例:

• 警告バナー: システムログイン画面での「不正アクセスは法的措置の対象となります」といった警告表示。
• 監視カメラ作動中のステッカーや表示: 「見ているぞ」というプレッシャーを与える。
• セキュリティガード（警備員）の巡回: 物理的な存在感による抑止。
• 監査ログ取得の告知: 「あなたの行動は記録されていますよ」と伝える。
• 厳しい罰則規定の明示: 不正行為に対する罰則を周知する。

キーワード:

抑止、警告、威嚇、思いとどまらせる、心理的効果

③ Preventive Controls (予防的管理策) - 「そもそも入れません！」と防ぐ門番

どんな役割？:

セキュリティインシデントや不正行為が実際に発生するのを未然に防ぐ、またはその可能性を低減させるための管理策です。問題が起こる前にブロックする、最も基本的で重要な対策と言えます。まさに 「門番」や「頑丈な壁」 の役割です。

主な目的:

脅威がシステムや情報資産に到達するのを阻止すること。

具体例:

• パスワード認証: 正しいパスワードを知らないとログインできない。
• ファイアウォール: 不正な通信をネットワークレベルで遮断する。
• アクセス制御リスト (ACL): 許可されたユーザーやプロセスだけが情報にアクセスできるように制限する。
• データの暗号化: もしデータが盗まれても、鍵がないと中身を読めなくする。
• 物理的なセキュリティドアや鍵: 重要な部屋への不正な立ち入りを防ぐ。
• ウイルス対策ソフト: 既知のマルウェアの侵入を検知し、実行を防ぐ（パターンマッチングなど）。
• 入力値検証:
• Webアプリケーションなどで、不正なデータが入力されるのを防ぐ。

キーワード:

防止、阻止、未然に防ぐ、防御、ブロック

④ Detective Controls (発見的管理策) - 「何か起きたぞ！」と知らせる探偵

どんな役割？:

予防的管理策をすり抜けてしまった（あるいはすり抜けようとしている）インシデントや不正行為、異常な状態を検知・発見し、管理者に知らせるための管理策です。問題が起きた後、あるいは起きている最中に、いち早く気づくための 「探偵」や「警報ベル」 のような役割です。

主な目的:

インシデントの早期発見と、それによる被害の拡大防止、迅速な対応への繋ぎ。

具体例:

• 侵入検知システム (IDS) / 侵入防止システム (IPS) のアラート機能: 不審なネットワーク活動を検知し警告する。
• 監視カメラの映像記録の確認: 不審者の侵入や不正行為の証拠を発見する。
• 監査ログ（アクセスログ、操作ログなど）の定期的なレビュー: 通常とは異なる不審な活動の痕跡を見つける。
• ウイルス対策ソフトの振る舞い検知機能: 未知のマルウェアの不審な動きを検知する。
• システムのアラート通知機能: サーバーの異常な負荷やエラー発生を管理者に通知する。
• 煙感知器や火災報知器: 火災の発生を早期に検知する。
• キーワード: 発見、検知、監視、監査、アラート、記録

⑤ Corrective Controls (修正的管理策) - 「元通りに直す！」修理屋さん

どんな役割？:

セキュリティインシデントや不正行為が発生した後に、その影響を軽減し、被害を受けたシステムや状態をできるだけ元の正常な状態に修復・修正するための管理策です。問題の原因を取り除いたり、被害を小さくしたりする 「修理屋さん」や「お医者さん」 のような役割です。

主な目的:

インシデントによる損害を最小限に抑え、影響を受けたシステムやプロセスを正常化すること。

具体例:

• ウイルス除去ツールによるマルウェアの駆除: 感染したコンピュータからマルウェアを取り除く。
• バックアップからのデータリストア: 破損または失われたデータを、バックアップから復元する。
• 脆弱性パッチの適用: インシデントの原因となったセキュリティホールを塞ぐ。
• 不正アクセスされたアカウントのパスワード変更や無効化: さらなる不正利用を防ぐ。
• 消火器やスプリンクラーによる消火活動: 火災による被害を食い止める。

キーワード:

修正、修復、元に戻す、正常化、被害軽減

⑥ Recovery Controls (回復的管理策) - 「事業を立て直す！」復興チーム

どんな役割？:

大規模なインシデントや災害などによって、事業やシステムが広範囲にわたって中断・停止してしまった場合に、システム機能全体や事業活動を、あらかじめ定められた目標時間内に回復させ、事業継続可能な状態に戻すための管理策です。「修正的管理策」よりも、より大規模で包括的な復旧活動を指すことが多いです。まさに 「復興チーム」 のような役割です。

主な目的:

事業の中断時間を最小限に抑え、組織が壊滅的な打撃を受けるのを防ぎ、事業を再開させること。

具体例:

• 災害復旧計画 (DRP: Disaster Recovery Plan) の発動: 大規模災害時に、代替拠点（バックアップサイト）でITシステムを復旧させる。
• 事業継続計画 (BCP: Business Continuity Plan) に基づく業務プロセスの再開: 代替手段を用いて重要な業務を継続する。
• バックアップシステムからの完全なシステム復旧: 主要なITインフラ全体をバックアップから元の状態に戻す。
• 代替通信手段の確保: 通常の通信網が使えなくなった場合に、衛星電話などで通信を確保する。

キーワード:

回復、復旧、事業継続、災害復旧、代替手段

混乱しやすい Corrective と Recovery の違い:

• Correctiveは、特定の問題やエラーを「修正」して元の状態に戻すイメージ（例：ウイルス駆除、単一ファイルのリストア）。
• Recoveryは、システム全体や事業全体が大きな影響を受けた場合に、それを「回復」させて事業を続けられるようにする、より大きな枠組みのイメージです。両者は重なる部分もありますが、Recoveryの方がより長期的・包括的な視点を持つことが多いです。

⑦ Compensating Controls (補完的管理策 / 代償的管理策) - 「代わりにこれで！」助っ人

どんな役割？:

本来、導入することが推奨されている主要なセキュリティ管理策（例えば、業界標準で求められている対策や、自社のポリシーで定められた対策）を、何らかの正当な理由（技術的な制約、コスト的な問題、業務上の特殊性など）でそのまま導入できない場合に、その不足を補い、同等とまではいかなくてもリスクを許容可能なレベルまで低減させるために導入される「代替的な」管理策のことです。「本命がダメなら、代わりにこの手で！」という 「助っ人」や「代打策」 のようなイメージです。

主な目的:

主要な管理策の欠如によって生じるリスクを、別の方法で軽減すること。

具体例:

• システムが非常に古く、メーカーサポートも終了していて最新のセキュリティパッチを適用できない（Preventive策が取れない）場合に、そのシステムをインターネットから隔離された専用ネットワークに設置し、アクセスできる端末を厳しく制限する（別のPreventive策やDetective策で補う）。
• あるアプリケーションが多要素認証に対応していない（Preventive策が不十分）場合に、そのアプリケーションへのアクセスは特定のIPアドレスからのみに限定し、さらに強力なパスワードポリシーを強制し、ログイン試行のログを頻繁に監視する（他のPreventive策やDetective策で補う）。
• 物理的に施錠できない重要な部屋の入り口に、監視カメラを設置し、24時間体制で監視記録を取り、入退室記録を厳密に管理する（Detective策やDirective策で補う）。

キーワード:

補完、代替、次善の策、埋め合わせ、リスク低減

管理策は組み合わせて使う！「多層防御」の考え方

これらの7つのタイプの管理策は、どれか一つだけあれば万全、というものではありません。実際には、それぞれの管理策が持つ強みと弱みを理解し、複数の異なるタイプの管理策を組み合わせて使うことで、より強固なセキュリティ体制を築くことができます。これを 「多層防御（Defense in Depth）」 と言います。

例えば、

1. まず指示的管理策（ポリシー、教育）で、どう行動すべきかを示し、
2. 抑止的管理策（警告）で、悪い気を起こさせないようにし、
3. それでも攻撃してくるものに対して予防的管理策（ファイアウォール、認証）で侵入を防ぎ、
4. 万が一すり抜けられても発見的管理策（IDS、ログ監視）でいち早く気づき、
5. 問題が起きたら修正的管理策（ウイルス除去、パッチ適用）で直し、
6. それでも大きな被害が出たら回復的管理策（DRP、BCP）で事業を立て直し、
7. どうしても理想的な対策が取れない部分があれば補完的管理策でリスクを軽減する…

といったように、それぞれの管理策が連携して、組織を守るのです。

まとめ

今回は、セキュリティ管理策の代表的な7つのタイプについて学びました。

• Directive (指示的): ルールを示し、導く！
• Deterrent (抑止的): 悪い気を起こさせない！
• Preventive (予防的): そもそも問題を起こさせない！
• Detective (発見的): 何か起きたらすぐ見つける！
• Corrective (修正的): 問題を直して元通りに！
• Recovery (回復的): 大きな被害から事業を立て直す！
• Compensating (補完的): 足りない部分を別の手で補う！

これらの分類を理解することで、自分たちの組織でどのようなセキュリティ対策が取られていて、それぞれがどのような役割を果たしているのか、あるいは何が不足しているのか、といったことを整理しやすくなります。バランスの取れた「多層防御」を目指して、これらの「七つ道具」を効果的に活用していきましょう！

それでは、本日はここまでです。また次回の学びでお会いしましょう！