組織を守る「セキュリティの三位一体」

セキュリティの三位一体

皆さん、こんにちは。 本日もセキュリティ対策の概念の続きです。

今回はセキュリティ対策を実施するにあたり、 「セキュリティの三位一体」と呼ばれる3つの行動指針を見ていきましょう。

IT業界まるわかりガイドは、日本初Web専門スクールのインターネット・アカデミーが運営する業界情報メディアです。最新の業界情報を、初心者にも分かりやすくご紹介しています。

目次

予防

予防とは、パソコンやネットワークの脆弱性(サイバー攻撃される危険性)を、 あらかじめパッチ(修正プログラム)でふさいでおき、外敵が侵入しないようにしておくことです。

セキュリティの枠組み構築の際には、予防の観点が最も大切になります。 侵入が起こってからの検出やレスポンスよりも、機密漏洩を防ぐ方がより効率的で、 費用対効果も高いからです。

脆弱性をすべてなくすことはできなくても、攻撃されにくい体制をとっていれば、 攻撃者はもっと攻撃しやすい対象に向かいます。

検出

検出とは、予防策の実施後、予防策が機能しなかった場合に備えて、 セキュリティ侵害や潜在的な問題をいち早く見つけることです。

セキュリティの問題は発見が早ければ早いほど、より簡単に修正することができ、対策を講じることができます。 よって、素早い検出は非常に重要です。

レスポンス

レスポンスとは、実際にサイバー攻撃により被害が生じてしまった後、 どのように事後処理を行うか、適切な計画をあらかじめ策定しておくことです。

予防と検出を入念に行っていたとしても、攻撃による被害を受ける確率を0にすることはできません。 いざ被害に遭ってから慌てないように、あらかじめ計画を立てておくことによって、 迅速な損害回復と被害拡大の防止を行うことが可能です。

企業は、この3つを展開・実施することで、適切な防衛を行い、 万一被害が生じてしまった場合にも迅速に対応することが可能になります。

また、上記3つ以外にも企業によって掲げる要素があります。 例えば、マイクロソフトは自社が開催したセキュリティに関する戦略説明会の中で、 情報セキュリティには「技術」「仕組み」「人」が大切であることを示しました。

「技術」の面では、製品の技術的な意味での性能の向上に取り組むこと、 「仕組み」の面では、ガイダンスや技術資料の配付、ツールの提供などを通して、セキュリティに関する仕組みを強化すること、 「人」の面では、セキュリティ意識の向上や人の教育、情報共有と発信などを進めていくことです。

この3つも、セキュリティにおけるもう一つの三位一体といえ、 セキュリティを考える上で大切な要素と言えるでしょう。