予防セキュリティ

事故を起こさないために実施するセキュリティです．ほとんどのセキュリティ対策がこの予防セキュリティに含まれます．不正なアクセスを検知する，保護すべき情報を隔離する，入退出管理を行うなどです．技術的な面での対策だけでなく，人的セキュリティや組織セキュリティとしてのガバナンスの面も考えなければなりません．

情報セキュリティにどれだけコストをかければよいのかという点で，もっとも答えを出しにくいのがこの予防セキュリティです．一定期間にセキュリティ事故が起こらなかった場合，それが予防セキュリティのおかげなのか，単に攻撃をうけなかった幸運なのかがわかりにくく，経営者の立場ではROIが見えないということになるからです．コストをかければかけた分だけセキュリティは強化されますが，それに見合った結果が見えないのです．

そのため，事故が起こった場合を想定して，被害額を算出し，予防セキュリティに充てるということが行われています．被害額の算出方法はJNSAの「２００４年度情報セキュリティインシデントに関する調査報告書」などを参考にするとよいでしょう．

リスクアセスメントという作業を経て，優先順位をつけて対策を施していきます．

臨床セキュリティ

事故が起きた後に対処するためのセキュリティです．技術的な面ではログの損失を防ぐ，ユーザの行動を記録するなどが相当します．デジタル・フォレンジクスなどもこの分類に入ります．また実際に事故が発生した場合にどのように対処するのかを予め決めておきます．

事故に対処する緊急行動マニュアルや，事業継続計画(BCP: Business Contingency Plan)などを策定して，訓練を行っておきます．今後はこのような事業継続マネジメント(BCM: Business Contingency Management)がますます重要になっていきます．

戦略セキュリティ

利益を生み出すために一歩踏み出したセキュリティです．セキュリティポリシやセキュリティ報告書の公開などが相当します．まだ確立した分野ではありませんが，今までコストとして考えられてきたセキュリティを，プロフィットの面から捉える方法が考えられています．

例えば経済産業省が進める「情報セキュリティガバナンス」の政策もその一つです．情報セキュリティを実施するとともに，その対策情報を報告書として対外的に公表します．これにより企業の価値を高めようという狙いです．この報告書に基づいた企業の格付けという考え方も出てくるかもしれません．Pマーク制度やISMS適合性評価制度なども予防セキュリティの面からだけでなく，戦略的に利用していくことも必要です．

今後は負担として考えられてきたセキュリティの対策を企業の武器として利用していく場面が増えていくことになると思います．

簡単に「予防セキュリティ」，「臨床セキュリティ」，「戦略セキュリティ」について説明しました．何のためのセキュリティなのかを念頭において，対策を実施していくことが非常に重要です．

セキュリティの分類は今回で終了です．次回からは「脅威の分類」を説明します．