1.2. セキュリティーコントロール

コンピューターセキュリティーは多くの場合、以下の 3 つの異なるマスターカテゴリーに分類され、一般にはコントロールと呼ばれています。
  • 物理的
  • 技術的
  • 管理的
これら 3 つの大まかなカテゴリーは、セキュリティーの適切な実施における主な目的を定義するものです。これらのコントロールには、コントロールおよびそれらの実装方法を詳細化するサブカテゴリーがあります。

1.2.1. 物理的コントロール

物理的コントロールは、機密資料への認証されていないアクセスの抑止または防止のために、明確な構造でセキュリティー対策を実施することです。物理的コントロールの例は以下の通りです。
  • 有線監視カメラ
  • 動作/温度感知アラームシステム
  • 警備員
  • 写真付き身分証明書
  • 施錠された、デッドボルト付きのスチールドア
  • バイオメトリクス (指紋、声、顔、虹彩、筆跡、および本人確認を行うためのその他の自動認識方法が含まれます)

1.2.2. 技術的コントロール

技術的コントロールでは、物理的な構造物やネットワークにおける機密データのアクセスや使用を制御するための基盤となる技術を使用します。技術的コントロールは広い範囲に及び、以下のような技術も含まれます。
  • 暗号化
  • スマートカード
  • ネットワーク認証
  • アクセス制御リスト (ACL: Access control lists)
  • ファイル完全性監査ソフトウェア

1.2.3. 管理者コントロール

管理的コントロールは、セキュリティーの人的要素を定義します。これらは組織内のあらゆるレベルの人員に関連するもので、次のような手段によって、誰がどのリソースや情報にアクセスするかを決定します。
  • トレーニングおよび認識の向上
  • 災害準備および復旧計画
  • 人員採用と分離の戦略
  • 人員登録とアカウンティング