前回は、企業を取り巻く情報セキュリティの動向について説明いたしました。今回は、情報セキュリティ上のリスクの要素について説明していきます。

情報セキュリティにおける「リスク」とは、企業に被害や影響を発生させる可能性を指します。このような企業に被害や影響を与える情報セキュリティ上の事件や事故のことを「情報セキュリティインシデント（以降、単に「インシデント」）と呼びます。

左図をご覧ください。このインシデントに結びつくリスクの要素には「脅威」「脆弱(ぜいじゃく)性」「資産」の3つがあります。まず、情報セキュリティで守るべき対象となる企業の「資産」があります。資産には、必ず「脆弱性」と呼ばれる弱点や欠陥部分という性質があります。この「脆弱性」にリスク発生の要因である「脅威」がつけこむことによりインシデントが発生することになります。

このような3つの要素の関係とインシデントが発生するメカニズムを知り、それによる影響や被害が自社の中でどのようなものであるかを想定できることが企業の情報セキュリティ上とても重要です。それができなければ、効果的な情報セキュリティ対策はできませんし、インシデントが発生した際の原因究明もできなくなります。原因究明ができなければ、再発防止もできません。ここをおざなりにしてはいけないのです。

効果的な情報セキュリティ対策を検討するためには、まず「自社において守るべきもの」が何であるのか、つまり「資産」を特定しなければなりません。そして、どのようなリスクがあるのか、その要素である脅威と脆弱性を明らかにする必要があります。そのための作業がリスクアセスメント（リスクの分析・算定・評価）です。この作業が情報セキュリティ対策を検討するには不可欠なのです。

次回は、リスクアセスメントを実施するための要素のうち、まず情報セキュリティで守るべきものである「資産」について説明します。