情報セキュリティにおける「リスク」とは
情報セキュリティにおける「リスク」とは、損害や影響を発生させる可能性のことです。情報システムやそこで扱われるデータなど、組織の重要な資産の保全を脅かします。どのような情報セキュリティインシデントが発生しうるのかを想定したり、発生を防止したり、発生した際の対応を検討するには、組織にどのようなリスクがあるかを明らかにし、分析ができなければなりません。
そのためには、その構成要素である脅威と脆弱性、資産を明らかにしなければなりません。資産については、前回説明しましたので、今回は脅威と脆弱性について説明していきます。
リスクを引き起こす要因「脅威」の中身
「脅威」とは、組織に損害や影響を与える可能性であるリスクを引き起こす要因です。「リスク」と「脅威」は混同されがちですが、「リスク」は可能性であり、「脅威」は要因であることがその違いです。
情報セキュリティにおける脅威は、主に3つに分けられます。
まずは、「人為的脅威」です。この脅威は、人間によって引き起こされるものです。人為的脅威は、さらに意図的脅威と偶発的脅威に分けられます。
意図的脅威は、主に悪意を持ったものによってもたらされます。攻撃(不正侵入、ウイルス、改ざん、盗聴、なりすまし、など)や盗難、破壊、などが挙げられます。
偶発的脅威は、人為的ミス(紛失、操作ミス、会話からの情報漏えい、など)、障害(システム障害、ネットワーク障害、など)です。
次に、「環境的脅威」です。環境的脅威は、様々な災害です。地震、洪水、台風、落雷、火事、などです。 脅威は、ゼロになることは絶対にありません。世の中から悪意を持った人がいなくなれば、意図的脅威はなくなるかもしれません。しかし、人為的なミスや障害などの偶発的脅威や様々な災害である環境的脅威がなくなることはないからです。
脅威を明確にする際には、自分の組織に起こりうるものを洗い出すことが重要です。実際に自分の組織に起こりえない脅威は、リスクとして発生することはないと考えられるからです。実際に発生したことがあるものは、顕在的脅威と呼ばれています。それに対して、組織で発生したことはないが、発生しうるものを潜在的脅威と呼んでいます。
顕在的脅威については、洗い出すことは難しくないはずですし、洗い出せなくてはなりません。しかし、潜在的脅威を洗い出すことは、組織にとって難しいことです。つまり、自分の組織では起こってもいないことを想定できなくてはならないからです。
潜在的脅威を洗い出すためには、日常的な外部ソースからの情報収集が欠かせません。脅威は常に変化しているからです。情報収集は、JPCERT/CC、IPAセキュリティセンターなどから行うことができます。その中から、自分の組織に関連するものを選別し、情報セキュリティのリスク分析や対策の検討に使えるようにしておくことが必要です。
