防御と運用
予防的統制
別称: 予防コントロール
定義
脅威行為の機会や能力を取り除き、セキュリティ事象の発生そのものを防ぐことを目的とした統制。
予防的統制は、被害が発生する前にアクションをブロック・抑止・制限します。MFA、暗号化、ファイアウォール、ネットワーク分割、最小権限、セキュアコーディング、アプリケーション許可リスト、エンドポイントのハードニング、セキュリティ意識教育などが代表例です。インシデント発生に対処するのではなく回避するため、コスト対効果が高い層になりがちですが、完璧ではありません。多層防御では予防的統制を検知的・是正的統制と組み合わせ、予防をすり抜けたものも見え、封じ込められるようにします。
例
- 全管理者アカウントにフィッシング耐性のある FIDO2 MFA を強制する。
- 侵害されたマーケティング部門の端末が決済環境へ到達できないようにするネットワーク分割。
関連用語
セキュリティ統制
情報資産への脅威を予防・検知・対応するために用いられる、技術的・管理的・物理的な対策。
発見的統制
環境内で発生した悪意ある活動、ポリシー違反、または異常を識別しアラートを発するために設計されたセキュリティ対策。
是正的統制
インシデント発生後に被害を最小化し、脅威を排除し、システムを正常状態へ復旧させるために発動されるセキュリティ対策。
Compensating Controls
Compensating Controls — definition coming soon.
システムハードニング
不要な機能の削除、設定の引き締め、安全な既定値の強制によりシステムのアタックサーフェスを縮小する取り組み。
最小権限の原則
ユーザー・プロセス・サービスに対し、その業務に厳密に必要な権限だけを付与し、それ以上は与えないというセキュリティ原則。