リスク管理策は、管理的コントロール、技術的コントロール、物理的コントロールの3種類が存在しています。管理的コントロールとは、組織制度によるコントロールです。ガイドラインや教育を組織の構成員に義務づけることで、統治的なコントロールを達成するものです。技術的コントロールとは、情報システムによるコントロールです。ソフトウェア、ハードウェア、アクセス制御設定はまさに情報システムによるコントロールになります。物理的コントロールとは物体によるコントロールです。ドアやフェンスなど攻撃者に対して物理的な制限をかけるものが該当します。
これらのコントロールの分類があることを知っておくことで、単純に「コンピューターを守りたい」という要望から、管理的コントロールとしてコンピューターに対する知識を従業員に教える必要性を知り、技術的コントロールとしてウイルス対策ソフトウェアの導入を考えるでしょうし、物理的コントロールとしてコンピューターが盗まれないようにワイヤーで固定したり、コンピューターが使える専用の部屋を用意するなど、資産をどのように守るのかということを考えるうえで素晴らしいアイディアを出してくれます。
試験対策としての観点でいえば、「完璧なITシステム、つまり技術的コントロールだけをやれば安全である」ということは否定されます。管理的コントロールや物理的コントロールも含めて、いくつかの対策を組み合わせることが必要になります。もしも、「パソコンのシステム設定は完璧であるため机に放置しました」というような選択肢があれば誤りだということですね。
次に、”どういった形で防御を行うのか”という観点でも、8つのタイプに分けることができます。行動指示的とは教育など従業員に求められる行動を指示する目的のコントロールです。抑止的とは警備犬、警備標識などの攻撃の前から飽きらめさせることを目的としたコントロールです。物理的とはドア、壁などの物体によるコントロールです。防止的とはフェンスなどの攻撃のやりにくさを上げる目的のコントロールです。検知的とはCCTV、アラーム、ログなどの違反者を見つけるためのコントロールです。補強的とはドローン監視などの他の防御に加えて防御力を上げる目的のコントロールです。復旧的とはバックアップなどの障害が発生してしまった場合に早急に回復する目的のコントロールです。是正的とは再発防止策立案、ACL更新などの今後同様の障害が起こらないよう改善する目的のコントロールになります。
補足になりますが、フェンスといった物理的であり防止的のようにセーフガードによっていくつもの性質を満たすものもあります。また、管理的コントロール、技術的コントロール、物理的コントロールとは異なる観点から分類したものになりますので、従業員に対する教育のように管理的コントロールかつ行動指示的コントロールということもあります。