防御と運用
セキュリティ統制
別称: セキュリティコントロール, 対策
定義
情報資産への脅威を予防・検知・対応するために用いられる、技術的・管理的・物理的な対策。
セキュリティ統制は防御プログラムの構成要素であり、機能(予防・検知・是正・抑止・補完・復旧)と種別(管理的=規程など、技術的=ファイアウォール・EDR など、物理的=施錠・カードキーなど)で分類されます。NIST SP 800-53、ISO/IEC 27001/27002、CIS Controls などのフレームワークが統制カタログを提供し、組織はリスクと法規制要件に合わせて取捨選択・適応します。有効なプログラムは統制を脅威と資産に紐付け、運用上の有効性を継続的に測定し、環境と脅威動向に合わせて統制を進化させます。
例
- クレデンシャル悪用に対し、MFA(予防)・SIEM 検知(検知)・IR ランブック(是正)を組み合わせる。
- パッチ適用できないレガシーシステムに対する補完統制としてネットワーク分離を採用する。
関連用語
予防的統制
脅威行為の機会や能力を取り除き、セキュリティ事象の発生そのものを防ぐことを目的とした統制。
発見的統制
環境内で発生した悪意ある活動、ポリシー違反、または異常を識別しアラートを発するために設計されたセキュリティ対策。
是正的統制
インシデント発生後に被害を最小化し、脅威を排除し、システムを正常状態へ復旧させるために発動されるセキュリティ対策。
Compensating Controls
Compensating Controls — definition coming soon.
Security Posture
Security Posture — definition coming soon.
コンプライアンス
法令・規制・契約上の義務、および社内のセキュリティ要件を、文書化された統制・証跡・継続的評価によって満たす取り組み。