« ECOM 「ECOM会員企業Webページ個人情報保護表記目視調査」調査結果 | Main | 総務省 自治体間でネット侵入監視・改ざん防止システム構築 »

2005.07.03

セキュリティ投資を考える 予防的対策と発見的対策

 こんにちは、丸山満彦です。最近、セキュリティ投資(もっというと投資効果)についての質問を受けることが多いです。最後は「経営者の勘」なのですが、それにいたるまでの間のセキュリティ対策に対する考え方を自分なりに整理していくことにしました。ということで、自分への備忘録です。今回は予防的対策と発見的対策。
 

 
 情報セキュリティだけの話ではないのですが、リスクによる損害を少なくするための対策として、そもそも事象が起こる事を未然に防ぐための予防的対策と、事象が起こった場合の損害を少なくするための発見的対策があります。
 予防的対策を更に抑止と予防に、発見的対策を更に検知と回復に分けて考える事もありますが、事象が起こる前と起こった後という意味でまずは2つにわけて考えるとよいですね。

 予防的対策は事故が起こる原因を取り除く・減少させるための対策ですね。データに対するアクセス制御、既知の脆弱性に対する修正ソフトの導入などが予防的対策の例です。
 発見的対策は事故が起こっことを知り、被害を最小化するための対策ですね。データやシステムへのアクセスログの解析、バッチ処理実行終了の確認などが発見的対策の例です。回復も含めるとバックアップリカバリーも含まれます。

 リスク対策としては、一般的には予防的対策の方が費用対効果が高いといわれています。理由はまだ整理していませんが、経験的にそうであると感じています(セキュリティだけではなく・・・・)。また、発見的対策は、予防的な対策ができていることが前提の場合も多いですしね・・・

 したがって、十分なセキュリティ対策が実施できていないと考えている企業は予防的な対策を優先的に実施するとよいでしょう。
 しかし、ある程度の予防的対策の実施ができてくると今度は、発見的対策が重要となります。特に事故の結果が重大な影響を及ぼすを考えられる事象については、発生の可能性に関わらず発見的対策を実施することが必要です。
 発見的対策を実施するためには、具体的な重大な事故のシナリオを想定し、その事故が発見できるように、また、発見した後回復できるように対策を構築することが重要です。あらゆる事故への対策を考えることは難しいし、実効性に欠けると思います。


このブログの中の意見は私見であり、所属・関係する組織の意見ではないことをご了承ください。

|

« ECOM 「ECOM会員企業Webページ個人情報保護表記目視調査」調査結果 | Main | 総務省 自治体間でネット侵入監視・改ざん防止システム構築 »

Comments

Post a comment



(Not displayed with comment.)




TrackBack

TrackBack URL for this entry:
http://app.cocolog-nifty.com/t/trackback/64462/4808227

Listed below are links to weblogs that reference セキュリティ投資を考える 予防的対策と発見的対策:

« ECOM 「ECOM会員企業Webページ個人情報保護表記目視調査」調査結果 | Main | 総務省 自治体間でネット侵入監視・改ざん防止システム構築 »