ドメイン2からデータ分類に関する問題です。データ分類は地味ですが重要なセキュリティ施策です。
データ分類ポリシーと手順を持つことは、情報を最も効率的かつ効果的に保護するためのどの段階で役立ちますか?
a. データの分類を行う前
b. データの分類中
c. データの分類が完了した後
d. データ分類が不要な場合
正解:c データの分類が完了した後
正答が正しい理由
データ分類ポリシーと手順が整備されていると、データが適切に分類された後に適用するデータ保護のためのセキュリティコントロールを効果的かつ効率的に設計できます。データ分類が完了する前では、重要なデータの保護が不十分になる可能性があります。
他の選択肢が間違っている理由
a. データの分類を行う前は、ポリシーがなくてもデータ分類が可能ですが、セキュリティコントロールの最適化が難しいです。
b. データの分類中は、ポリシーがあると効果的に分類作業を進められますが、セキュリティコントロールの適用にはまだ至っていない段階です。
d. データ分類が不要な場合は考えられないため、正確ではありません。
データ分類ポリシー(Data Classification Policy)とはデータ(情報資産)をその機微性・重要性・価値を表すカテゴリーに分類することです。よく使われる分類(Classification)として、Confidential / Sensitive / Private / Proprietary などの分類ラベルが使われます。データの分類後、データあるいはデータを含むファイルにはこれらの分類ラベルが付けられます。分類ラベルに応じたセキュリティコントロールを定義することで、効率的かつ効果的にデータの保護を行うことができます。
例えばConfidentialあるいはSensitiveに分類されたデータについてはDLPの対象とすることで効率的に重要データの漏洩を検知して防ぐことができます。またConfidentialなデータは暗号化することに決めておけば、データ分類さえ済めばどのデータを暗号化して保存や通信するべきかは極めて明瞭になります。
またこのデータ分類はデータへの強制アクセス制御に使われる場合があります。Confidential なデータへのアクセスはその権限(clearance)を持つ人だけに許される、などのアクセス制御で使われます。