セキュリティ・コントロールとは【用語集詳細】
セキュリティ・コントロール(Security Control)は、セキュリティ上のリスクを低減するために実施される対策を指すコンセプトです。
コントロールを分類する方法はいくつかありますが、米国連邦政府機関向けセキュリティガイダンス文書であるFIPS 199「Standards for Security Categorization of Federal Information and Information Systems」によれば以下のとおりです。
- 技術的コントロール……セキュリティ製品やシステムによって行う対策です。FWやAV、EDRなどのセキュリティ機器などが該当します。
- 物理的コントロール……警備設備や施錠、監視カメラ等の物理的セキュリティ対策です。重要データを取り扱う施設に対して、生体認証を要求するゲートを設置したり、監視カメラや警備員、防壁を設置したりすることが該当します。
- 管理的コントロール……規則やポリシー、プロセスによる対策です。システム管理者・ユーザーに対するセキュリティ規則や、複数人を通じた承認プロセス、規則を通じた最小特権の原則やNeed-to-Know原則の徹底などが該当します。
セキュリティ・コントロールの行動のほとんどは、以下の3つに分類されます。
- 予防……望ましくない事象が発生する可能性を低減する
- 検知……望ましくない事象を特定し、その情報を収集する
- 是正……望ましくない事象の影響を低減し、除去する
セキュリティ・コントロールでは、様々な方式を組み合わせることで多層防御を構築することにより効果を高めることが推奨されます(多層防御・重層防御)。
