物理的対策、技術的対策、人的対策
情報セキュリティ対策は一般に、「技術的対策」、「物理的対策」、「人的対策」の3つに分類されます。
ISMSでのセキュリティポリシーでの対策基準では、基本方針の内容を受けて具体的なルールである「管理策」を記述しますが、「ISMS認証基準」の詳細管理策でもこの3分類になっています。
この3分類以外に、次のような分類もあります。
これらの区分は、対策の区分か脅威の区分かを明確に理解する必要があります。「人的対策」というとき、人が原因で発生するセキュリティを対象にするのか、セキュリティの現象は問わず、その対策として教育など人を対象とするのかの違いです。「対策基準」ですから後者の立場であり、ここでもその立場で記述しています。
脅威での区分も、「技術的脅威」「物理的脅威」「人的脅威」のように区分できます。しかし、「技術的脅威」の対策が「技術的対策」とは限りません。
例えば不正入室を防ぐために本人認証システムを導入するのは、物理的脅威を防止するための技術的対策になります。また、内部での不正アクセスは技術的攻撃ですが、その対策としての倫理教育は人的対策です。
ここでの技術は情報技術のことであり、防震対策に高度な建築技術が使われても物理的対策になります。防火設備でセンサや判定に情報技術が使われますが、それを技術的対策とするか物理的対策とするかは、何を重視するかで異なります。
これらの区分は、対策手段を検討するためのものですから、個々の対策がどれに区分されるのかを必要以上に検討する必要はありません。
情報技術とは直接には無関係な対策です。自然災害、事故や人間による物理的な攻撃から情報資産を守る対策です。
クリアスクリーンとは、離席時にコンピュータの操作画面をロックして第三者が操作や盗み見できないよう求める行動規範です。
クリアデスクとは、離席時にデスク上に書類、USBメモリ、パソコンなどを放置せずにキャビネットなど鍵のかかった場所に保管する行動規範です。
これらは、ISO/IEC 27001(JIS Q 27001)などの各種セキュリティ規格にも採用されています。
情報技術を利用して情報資産を保護する対策です。
人を対象にした対策です。手続き的なもの、管理的なもの、ルールの徹底などがあります。
人的対策のうち、次のような対策が対象になります。主として対策がPDCAサイクルによる継続的なマネジメントとして運営するための対策です。
脅威が現実のものとなることをインシデントといいます。上記の対策には、次の3つの機能をもつことが必要です。