SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Security Online Day 2025 春の陣(開催予定)

2025年3月18日(火)オンライン開催

Enterprise IT Women's Forum

2025年1月31日(金)17:00~20:30 ホテル雅叙園東京にて開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

図解!基礎から学び直す情報セキュリティ入門

情報セキュリティにおける「リスク」とは? 「脅威」と「脆弱性」の中身を知ろう

■第4回

 前回は、情報セキュリティで守るべきもの「資産」にはどのようなものがあり、どのような性質を持っているのかについて説明しました。そこで説明した通り、組織が守るべきものである資産にどのような損害や影響が起こりうるのかを想定するためには、その損害や影響を及ぼす情報セキュリティインシデントを引き起こす要因や要素である「情報セキュリティリスク」を知らなければなりません。今回は、情報セキュリティにおける「リスク」を明らかにするための要素、「脅威」と「脆弱性」について解説いたします。

情報セキュリティにおける「リスク」とは

 情報セキュリティにおける「リスク」とは、損害や影響を発生させる可能性のことです。情報システムやそこで扱われるデータなど、組織の重要な資産の保全を脅かします。どのような情報セキュリティインシデントが発生しうるのかを想定したり、発生を防止したり、発生した際の対応を検討するには、組織にどのようなリスクがあるかを明らかにし、分析ができなければなりません。

 そのためには、その構成要素である脅威と脆弱性、資産を明らかにしなければなりません。資産については、前回説明しましたので、今回は脅威と脆弱性について説明していきます。

リスクを引き起こす要因「脅威」の中身

 「脅威」とは、組織に損害や影響を与える可能性であるリスクを引き起こす要因です。「リスク」と「脅威」は混同されがちですが、「リスク」は可能性であり、「脅威」は要因であることがその違いです。

 情報セキュリティにおける脅威は、主に3つに分けられます。

図表1:情報セキュリティにおける「脅威」

 まずは、「人為的脅威」です。この脅威は、人間によって引き起こされるものです。人為的脅威は、さらに意図的脅威と偶発的脅威に分けられます。

 意図的脅威は、主に悪意を持ったものによってもたらされます。攻撃(不正侵入、ウイルス、改ざん、盗聴、なりすまし、など)や盗難、破壊、などが挙げられます。

 偶発的脅威は、人為的ミス(紛失、操作ミス、会話からの情報漏えい、など)、障害(システム障害、ネットワーク障害、など)です。

 次に、「環境的脅威」です。環境的脅威は、様々な災害です。地震、洪水、台風、落雷、火事、などです。  脅威は、ゼロになることは絶対にありません。世の中から悪意を持った人がいなくなれば、意図的脅威はなくなるかもしれません。しかし、人為的なミスや障害などの偶発的脅威や様々な災害である環境的脅威がなくなることはないからです。

 脅威を明確にする際には、自分の組織に起こりうるものを洗い出すことが重要です。実際に自分の組織に起こりえない脅威は、リスクとして発生することはないと考えられるからです。実際に発生したことがあるものは、顕在的脅威と呼ばれています。それに対して、組織で発生したことはないが、発生しうるものを潜在的脅威と呼んでいます。

 顕在的脅威については、洗い出すことは難しくないはずですし、洗い出せなくてはなりません。しかし、潜在的脅威を洗い出すことは、組織にとって難しいことです。つまり、自分の組織では起こってもいないことを想定できなくてはならないからです。

 潜在的脅威を洗い出すためには、日常的な外部ソースからの情報収集が欠かせません。脅威は常に変化しているからです。情報収集は、JPCERT/CCIPAセキュリティセンターなどから行うことができます。その中から、自分の組織に関連するものを選別し、情報セキュリティのリスク分析や対策の検討に使えるようにしておくことが必要です。

次のページ
情報セキュリティにおける「脆弱性」とは

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
図解!基礎から学び直す情報セキュリティ入門連載記事一覧

もっと読む

この記事の著者

株式会社ラック 長谷川 長一(カブシキガイシャラック ハセガワ チョウイチ)

株式会社ラック セキュリティアカデミー  プロフェッショナルフェローソフトバンク、日本ユニシスを経て、現職。情報セキュリティコンサルティング、情報セキュリティ監査業務を経て、現在は主にセキュリティ教育業務を担当。政府機関やIT資格団体等の委員も務めている。主な所有資格は、CISSP。主な著書(共著)は、「情報セキュリティプ...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/5056 2013/09/04 07:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング