日商 Assist Biz

更新

企業を襲うサイバー脅威 “リスク”とは何か?

〈図「リスク」:脅威と脆弱性、資産〉

前回は、企業を取り巻く情報セキュリティの動向について説明いたしました。今回は、情報セキュリティ上のリスクの要素について説明していきます。

情報セキュリティにおける「リスク」とは、企業に被害や影響を発生させる可能性を指します。このような企業に被害や影響を与える情報セキュリティ上の事件や事故のことを「情報セキュリティインシデント(以降、単に「インシデント」)と呼びます。

左図をご覧ください。このインシデントに結びつくリスクの要素には「脅威」「脆弱(ぜいじゃく)性」「資産」の3つがあります。まず、情報セキュリティで守るべき対象となる企業の「資産」があります。資産には、必ず「脆弱性」と呼ばれる弱点や欠陥部分という性質があります。この「脆弱性」にリスク発生の要因である「脅威」がつけこむことによりインシデントが発生することになります。

このような3つの要素の関係とインシデントが発生するメカニズムを知り、それによる影響や被害が自社の中でどのようなものであるかを想定できることが企業の情報セキュリティ上とても重要です。それができなければ、効果的な情報セキュリティ対策はできませんし、インシデントが発生した際の原因究明もできなくなります。原因究明ができなければ、再発防止もできません。ここをおざなりにしてはいけないのです。

効果的な情報セキュリティ対策を検討するためには、まず「自社において守るべきもの」が何であるのか、つまり「資産」を特定しなければなりません。そして、どのようなリスクがあるのか、その要素である脅威と脆弱性を明らかにする必要があります。そのための作業がリスクアセスメント(リスクの分析・算定・評価)です。この作業が情報セキュリティ対策を検討するには不可欠なのです。

次回は、リスクアセスメントを実施するための要素のうち、まず情報セキュリティで守るべきものである「資産」について説明します。

長谷川長一(はせがわ・ちょういち) ソフトバンク、日本ユニシスを経て、株式会社ラックに入社。情報セキュリティ業界の先駆者として知られる同社で現在は、主にセキュリティ教育業務を担当している。『CISSP-行政情報セキュリティ公式ガイドブック』(アスキー出版)や『情報セキュリティ監査公式ガイドブック』(日科技連出版社)など著書多数

次の記事

長谷川長一

前回は、情報セキュリティ上のリスクの要素について説明いたしました。今回は、情報セキュリティ上の守るべきもの「資産」について説明していきます。情報セキュリティでは、ま…

前の記事

長谷川長一

情報セキュリティは、急速にその必要性が高まってきています。業務や生活で、IT(情報通信技術)や情報を使うことが不可欠になっているからです。しかし、よく「情報セキュリテ…

関連記事

長谷川長一

今回は人的脅威の中の非意図的なもの、「ヒューマンエラー」について取りあげます。「ヒューマンエラー」には、「誤操作」「設定ミス」「紛失・置き忘れ」「盗難」などがありま…

長谷川長一

今回は人的脅威の中の“意図的脅威”である情報セキュリティー上の「ルール違反」について取りあげます。「ルール違反」は、前回取り上げた「内部不正」と比較すると、軽いものと…

長谷川長一

今月からは、企業内部の人的脅威について取り上げます。情報セキュリティーにおける人的脅威には、意図的なものと非意図的なものがあります。まず今回は人的脅威の中でも意図的…