管理策タイプ（予防，検知，是正）とは？ 10分でわかりやすく解説

管理策タイプは、情報セキュリティの管理策を「起こりにくくする予防」「早く気づく検知」「被害を抑えて戻す是正」の三つで整理する見方です。IPA が公開している情報セキュリティマネジメント試験シラバスや情報セキュリティ白書でも、管理策のタイプとして予防・検知・是正が示されています。運用で使うときは、製品名やツール名から考えるのではなく、守る対象と想定シナリオごとに三つがそろっているかを点検します。たとえば、多要素認証や権限制御は予防、SIEMやIDSは検知、データのバックアップと復旧手順は是正に置きやすくなります。

• 適している場面：重要な情報資産や業務ごとに、どの対策が足りないかを棚卸ししたい場面
• 先に確認したい点：予防だけで終わっていないか、検知しても誰も動けない状態になっていないか、是正が復旧手順だけで止まっていないか
• 三分類だけでは粗くなりやすい場面：抑止、回復、補完統制まで分けて監査したい場面

管理策タイプ（予防・検知・是正）の概要

管理策タイプとは何か

管理策タイプは、管理策を「何のために使うか」で分ける分類です。同じツールでも、設定や運用次第で役割は変わります。たとえばログ基盤は検知に使うことが多い一方、改ざん防止や証跡保全まで含めて設計すれば、是正の初動にもつながります。製品名だけで分類すると、実際の運用で抜けが残りやすくなります。

予防・検知・是正の定義

NIST SP 800-221 では、予防的管理策は弱点の具体例を減らすもの、検知的管理策は攻撃や試行の兆候を警告するもの、是正的管理策はリスク事象の後に影響を下げるものとして整理されています。この考え方に沿って、日本語の実務では次の三つで押さえると使いやすくなります。

三つだけで完結すると考えない方がよい理由

三分類は入口の整理としては扱いやすい一方、細部の設計では不足することがあります。NIST SP 800-221 では deterrent や compensating も例示されており、ISO/IEC 27002:2022 の属性でも管理策をさらに細かく扱える前提が置かれています。そのため、三分類は最初の棚卸しに使い、監査や詳細設計では責任、手順、例外運用まで掘り下げる進め方の方が迷いにくくなります。

予防型管理策の詳細解説

予防型管理策の役割

予防型管理策は、攻撃や事故の発生確率を下げるための管理策です。狙うのは「侵入されても頑張る」前に、「侵入されにくくする」「誤操作を起こしにくくする」ことです。代表的な対象は認証、権限、設定、公開面、端末利用ルールです。

具体例

• アクセス制御：最小権限、承認フロー、特権IDの棚卸しで権限の持ちすぎを減らす
• 認証強化：多要素認証や端末条件付き認証で認証情報の悪用を抑える
• 脆弱性管理：脆弱性対応、パッチ適用、不要サービス停止、設定標準化で攻撃面を減らす
• 教育とルール整備：持ち出し制御、承認手順、誤送信防止ルールを定着させる
• 物理的対策：入退室管理、端末盗難対策、媒体管理で物理経路からの事故を減らす

予防型の限界

予防だけで押し切る設計は崩れやすくなります。未公表の欠陥、正規アカウントの乗っ取り、設定変更ミス、内部不正までは止め切れないためです。たとえばゼロデイ脆弱性や認証情報の流出が絡むと、入口対策だけでは被害を抑え切れません。予防を厚くしても、検知と是正が薄いままでは運用全体の耐性は上がりません。

検知型管理策の詳細解説

検知型管理策の役割

検知型管理策は、起きた事象や兆候に早く気づき、初動を前倒しするための管理策です。価値が出るのは、アラートを出すところではなく、被害拡大の前に対応へつなげられるところです。したがって、検知単体ではなく、誰が受けて何を確認するかまで含めて設計します。

具体例

• ログ監視：認証、管理操作、重要データへのアクセスを集約し、異常条件で通知する
• SIEM：SIEMで複数ログを相関分析し、単独では見えにくい兆候を拾う
• IDS や振る舞い検知：IDSや振る舞い検知で不審な通信や操作を見つける
• 脆弱性スキャンと設定レビュー：定期スキャン、権限レビュー、放置アカウント確認で運用上の抜けを拾う
• 報告経路：フィッシング受信、誤送信、不審端末をすぐ報告できる窓口を用意する

検知型で起こりやすい失敗

よくある失敗は三つあります。第一に、アラートが多すぎて誰も見なくなること。第二に、必要なログ自体が取れていないこと。第三に、検知後の判断基準がなく、セキュリティインシデントとして扱うかどうかで止まることです。検知基盤を入れても、所有者、確認手順、一次切り分けの条件がないと機能しません。

是正型管理策の詳細解説

是正型管理策の役割

是正型管理策は、起きた後に被害の広がりを止め、業務を戻し、再発率を下げるための管理策です。NIST SP 800-61 のインシデント対応ライフサイクルでは、準備、検知と分析、封じ込め・根絶・復旧、事後活動という流れが示されています。是正はこのうち、封じ込め、復旧、事後改善の中心に置かれます。

具体例

• インシデント対応計画：初動、報告、意思決定、法務・広報連携の流れを定める
• 封じ込め：侵害端末の隔離、アカウント停止、通信遮断で被害の横展開を止める
• 復旧：データのバックアップからの復元、再構築、設定戻しで業務を再開する
• 原因調査：デジタルフォレンジックスやログ分析で侵入経路と影響範囲を確認する
• 再発防止：設定変更、権限見直し、教育、監視ルール見直しを実施する

是正型で起こりやすい失敗

バックアップがあっても戻せない、連絡先が古い、停止判断の権限者が曖昧、外部支援の窓口が不明といった状態は珍しくありません。CSIRTや運用チームの役割分担、復元テスト、休日を含む連絡経路までそろえておくと、初動の空転を減らしやすくなります。

導入・運用のポイント

資産ごとに三つを並べて棚卸しする

リスクマネジメントの観点では、管理策をツール単位で並べるより、重要資産や主要業務ごとに三分類で棚卸しした方が不足を見つけやすくなります。たとえば「認証基盤」「顧客データ」「外部公開Web」「メール」を単位にし、それぞれに予防・検知・是正があるかを確認します。

不足の埋め方は三つ同時でなくてよい

一気に全部そろえようとすると、運用負荷だけが先に増えます。まず被害が大きい資産とシナリオを決め、その単位で穴を埋めます。たとえば、外部公開Webなら予防として設定標準化、検知として改ざん監視、是正として復旧手順を優先する、といった進め方です。

同じ管理策を複数タイプにまたがって評価する

管理策は一つのタイプにだけ属するとは限りません。たとえば権限棚卸しは予防としても働きますし、運用の異常を見つける検知にもつながります。したがって、管理策台帳を作るときは「主な役割」と「副次的な役割」を分けて記録すると、重複投資や見落としを減らしやすくなります。

ありがちな落とし穴

• 予防に偏る：入口対策を積み上げても、侵害後の初動や復旧手順が薄いままだと停止時間が長引く
• 検知に偏る：通知は出るが誰も判断せず、アラート疲れだけが残る
• 是正を復旧だけで終わらせる：戻した後に原因分析と恒久対策を実施しないため、同じ事故が再発する
• 資産との対応付けがない：何を守る管理策かが曖昧で、投資の優先順位が決まらない

まとめ

管理策タイプは、情報セキュリティ対策を予防・検知・是正の三つで見直すための整理です。三分類の価値は、対策の数を増やすことではなく、重要資産ごとに「起こりにくくする策」「気づく策」「戻す策」がそろっているかを点検できるところにあります。予防だけ、検知だけ、是正だけに偏ると、どこかで運用が空きます。守る対象、想定シナリオ、責任者、手順を結び付けながら棚卸しすると、次に整備する順番を決めやすくなります。