■脆弱性と脅威
情報セキュリティ対策を実施するに当たり、情報資産に関わる『脅威』とそれの弱点である『脆弱性』を明確にすることが非常に大事になってきます。
まず、脅威とは、情報システムや組織に危害を与えるセキュリティ事故の潜在的な原因です。脅威は、人為的(意図的、偶発的)なものと、環境的なものに分類されます。
◎脅威の例
|
人為的
|
環境的
|
|
意図的
|
偶発的
|
|
・盗難
・盗聴
・情報の改ざん
・不正侵入 など
|
・誤りやケアレスミス
・ファイルの削除
・プログラムミス
・紛失 など
|
・地震
・落雷
・洪水
・火災 など
|
そして、脆弱性とは、脅威によって利用されるおそれのある弱点です。
たとえば、施設においてドアや窓などの物理的保護の欠如やクリアデスクの実施の欠如という脆弱性に対し、盗難、情報漏洩という脅威がおこる可能性がでてきます。他には、パスワードを不適切に管理(パスワードのメモをディスプレイに貼付や推測されやすいパスワードを使用など)する脆弱性に対し、不正侵入、情報の改ざん、情報漏洩などの脅威が考えられます。
情報セキュリティリスクは一般的に次式で表されます。
「情報セキュリティリスクの大きさ=
情報資産の価値×脅威の大きさ×脆弱性の度合い」
リスクの大きさを算出し、それに対してリスク評価を行いそれぞれのリスクにあった対策をたてなければなりません。
情報セキュリティの定義である、
・機密性(アクセスを認可された者だけが情報にアクセスできることを確実にすること)
・完全性(情報および処理方法が、正確かつ安全であることを保護すること)
・可用性(認可された利用者が、必要なときに情報および関連する資産にアクセスできることを確実にすること)
をバランスよく維持することにより情報セキュリティシステムを確立して、システムの脆弱性をなくしいろいろな脅威も未然に回避して情報資産を守ることは現代社会において不可欠なことなのです。
|
