代替的統制

Q: 代替的統制 とは何ですか?

本来求められる統制を実装できない場合に、同等水準の保護を提供する代替的な対策。 サイバーセキュリティの 防御と運用 カテゴリに属します。

Q: 代替的統制 からどのように防御しますか?

代替的統制 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

監修Florian AmetteCybersecurity entrepreneur & security researcher

代替的統制とは何ですか?

代替的統制本来求められる統制を実装できない場合に、同等水準の保護を提供する代替的な対策。

代替的統制(補完統制)は、組織が規定の統制で特定のセキュリティ要件を満たせない場合に、異なる手段で同等のリスク低減効果を実現するために導入されます。PCI DSS、ISO/IEC 27001、NIST などのフレームワークで明示的に認められており、文書化、リスク評価、定期的なレビューが求められます。代表的な例として、パッチ適用ができないレガシー機器を厳格にセグメント分離したネットワークに収容する、または多要素認証を即時導入できない場合に監視を強化する、などがあります。有効な代替的統制は監査可能で、原要件と同等であることを証明でき、根本的な欠陥が解消されるまでの暫定措置として運用されます。

● 例

01
ファームウェアの更新ができない産業用コントローラを、厳格な ACL を備えた専用 VLAN に隔離する。
02
ネイティブの保存時暗号化に対応しないデータベースに対し、ログレビューを強化する。

● よくある質問

代替的統制とは何ですか?

本来求められる統制を実装できない場合に、同等水準の保護を提供する代替的な対策。サイバーセキュリティの防御と運用カテゴリに属します。

代替的統制とはどういう意味ですか?

本来求められる統制を実装できない場合に、同等水準の保護を提供する代替的な対策。

代替的統制からどのように防御しますか?

代替的統制に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

代替的統制の別名は何ですか?

一般的な別名: 補完統制, 代替コントロール。

代替的統制 とは何ですか?

● 例

● よくある質問

● 関連用語

代替的統制とは何ですか?