Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

情報セキュリティにおける「リスク」とは? 「脅威」と「脆弱性」の中身を知ろう

 前回は、情報セキュリティで守るべきもの「資産」にはどのようなものがあり、どのような性質を持っているのかについて説明しました。そこで説明した通り、組織が守るべきものである資産にどのような損害や影響が起こりうるのかを想定するためには、その損害や影響を及ぼす情報セキュリティインシデントを引き起こす要因や要素である「情報セキュリティリスク」を知らなければなりません。今回は、情報セキュリティにおける「リスク」を明らかにするための要素、「脅威」と「脆弱性」について解説いたします。

情報セキュリティにおける「リスク」とは

 情報セキュリティにおける「リスク」とは、損害や影響を発生させる可能性のことです。情報システムやそこで扱われるデータなど、組織の重要な資産の保全を脅かします。どのような情報セキュリティインシデントが発生しうるのかを想定したり、発生を防止したり、発生した際の対応を検討するには、組織にどのようなリスクがあるかを明らかにし、分析ができなければなりません。

 そのためには、その構成要素である脅威と脆弱性、資産を明らかにしなければなりません。資産については、前回説明しましたので、今回は脅威と脆弱性について説明していきます。

リスクを引き起こす要因「脅威」の中身

 「脅威」とは、組織に損害や影響を与える可能性であるリスクを引き起こす要因です。「リスク」と「脅威」は混同されがちですが、「リスク」は可能性であり、「脅威」は要因であることがその違いです。

 情報セキュリティにおける脅威は、主に3つに分けられます。

図表1:情報セキュリティにおける「脅威」

 まずは、「人為的脅威」です。この脅威は、人間によって引き起こされるものです。人為的脅威は、さらに意図的脅威と偶発的脅威に分けられます。

 意図的脅威は、主に悪意を持ったものによってもたらされます。攻撃(不正侵入、ウイルス、改ざん、盗聴、なりすまし、など)や盗難、破壊、などが挙げられます。

 偶発的脅威は、人為的ミス(紛失、操作ミス、会話からの情報漏えい、など)、障害(システム障害、ネットワーク障害、など)です。

 次に、「環境的脅威」です。環境的脅威は、様々な災害です。地震、洪水、台風、落雷、火事、などです。  脅威は、ゼロになることは絶対にありません。世の中から悪意を持った人がいなくなれば、意図的脅威はなくなるかもしれません。しかし、人為的なミスや障害などの偶発的脅威や様々な災害である環境的脅威がなくなることはないからです。

 脅威を明確にする際には、自分の組織に起こりうるものを洗い出すことが重要です。実際に自分の組織に起こりえない脅威は、リスクとして発生することはないと考えられるからです。実際に発生したことがあるものは、顕在的脅威と呼ばれています。それに対して、組織で発生したことはないが、発生しうるものを潜在的脅威と呼んでいます。

 顕在的脅威については、洗い出すことは難しくないはずですし、洗い出せなくてはなりません。しかし、潜在的脅威を洗い出すことは、組織にとって難しいことです。つまり、自分の組織では起こってもいないことを想定できなくてはならないからです。

 潜在的脅威を洗い出すためには、日常的な外部ソースからの情報収集が欠かせません。脅威は常に変化しているからです。情報収集は、JPCERT/CCIPAセキュリティセンターなどから行うことができます。その中から、自分の組織に関連するものを選別し、情報セキュリティのリスク分析や対策の検討に使えるようにしておくことが必要です。

※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

バックナンバー

連載:図解!基礎から学び直す情報セキュリティ入門

もっと読む

All contents copyright © 2007-2017 Shoeisha Co., Ltd. All rights reserved. ver.1.5