情報セキュリティのコントロールの3つの種類に関する問題です。この話はドメイン1に書かれるべきだと思うのですが、データセキュリティと絡めてドメイン2に書かれています。
管理コントロール(Administrative Control)は何を使用して組織の資産を守りますか?
a. 物理的なアクセス制御
b. ポリシー
c. 情報の分類
d. コンピュータの機能と自動化
正解:b. ポリシー
正答が正しい理由
管理コントロールは組織のメンバーが従うべきポリシーやそれに紐づく規則を使って資産の保護を行います。
他の選択肢が間違っている理由
a. 物理的なアクセス制御:管理コントロールからの要請で物理的なアクセス制御をしますが、それ自体は管理コントロールではありません。
c. 情報の分類:これはデータセキュリティの考慮事項ではありますが、管理コントロールの直接的な防御の範疇ではありません。
d. コンピュータの機能と自動化:これは技術コントロールの範疇であり、管理コントロールではありません。
情報セキュリティの資料を読むとControlという単語が頻出します。「統制」と訳されることもありますが「具体的な施策」というような意味です。最近ではそのままカタカナでコントロールと表記されることも多いと思います。情報セキュリティではコントロールは3つの種類と5つのタイプに分類されます。3つの種類とは「管理コントロール」「技術コントロール」「物理コントロール」です。5つのタイプは「抑止」「防止」「検知」「修正(補正)」「復旧」です。
この問題は3つの種類に関する出題です。管理コントロールは人を管理する方法、物理コントロールは物理的な方法、技術コントロールはコンピュータやネットワークを使う方法、によって資産の保護など情報セキュリティの目的を達成します。どれか1つというよりは組織の状況に合わせて3つの種類のコントロールを組み合わせることが多いです。
管理コントロールはポリシーやそれに紐づく規則を制定して、組織でそれを守ることで組織の資産を保護します。管理コントロールの実効性を高めるために守らない人に対する罰則を決めることもあります。
物理コントロールは情報資産を物理的な攻撃(データセンターへの不法侵入や機材の持ち出しなど)から守るためのコントロールです。施錠、監視カメラの設置、ガードマンの配置などが含まれます。
技術コントロールは情報資産を持つコンピュータやネットワークの機能と自動化を用いるコントロールです。ログインの際の認証、データベースやファイルのアクセス制御、ネットワークへの侵入検知/防止、暗号化など多くのコントロールがあります。