組織が手軽に情報セキュリティを推進するための様々な知識・ノウハウを集めたサイトです。

情報セキュリティ対策とその分類

先に述べたように、脆弱性を低減し、情報セキュリティ事件・事故を起こさないための様々な策を情報セキュリティ対策(管理策)と呼びます。情報セキュリティの様々な対策が、JIS Q 27002 等でまとめられています。

情報セキュリティ対策は、実施する対象で分類すると下記のようになります。

物理的セキュリティ対策

 建物などの設備やハードウェアに対して実施するセキュリティ対策です。具体的には、建物の耐震対策や建物への施錠、入退出の管理、PCの盗難防止対策や停電・瞬停に対する無停電電源の設置などがあげられます。

論理的セキュリティ対策

 物理的セキュリティ対策以外のものを指し、ソフトウェアのセキュリティ、システムの管理・運用体制、要員に対するセキュリティ等があり、下記のように分類されます。

・システム的セキュリティ対策

 技術的なセキュリティ対策のことで、ウイルス対策やアクセス制御、暗号化対策などがこれに当たります。

・管理的セキュリティ対策

 組織やシステムの運用管理に対するセキュリティ対策のことで、情報セキュリティマネジメントの運用や監査、セキュリティに関する事件・事故対策などがこれに当たります。

・人的セキュリティ対策

 組織に属する人に対するセキュリティ対策のことで、セキュリティに関する教育や訓練、違反者に対する罰則などがこれに当たります。

 なお、人的セキュリティ対策を管理的セキュリティ対策に含める考え方や、物理的セキュリティ対策とシステム的セキュリティ対策を技術的セキュリティ対策としてまとめる考え方もあります。

大分類 小分類 情報セキュリティ対策の例
物理的セキュリティ対策 建物の耐震、耐火対策、建物の施錠入退出管理、機器の盗難防止、無停電源の設置
論理的セキュリティ対策 システム的セキュリティ対策 コンピュータウイルス対策アクセス制御、暗号化対策
管理的セキュリティ対策 ISMSの運用、監査インシデント対策
人的セキュリティ対策 教育、訓練違反者に対する罰則
PAGETOP