前回は、情報セキュリティ上の守るべきもの「資産」が持っている「脆弱(ぜいじゃく)性」について説明いたしました。今回は「脆弱性」につけ込むことで損害や影響をもたらす「脅威」について説明します。

「脅威」とは、組織に損害などを与える可能性である「リスク」を引き起こす要因です。「リスク」と「脅威」は混同されがちですが、「リスク」は可能性で、「脅威」は要因であることが、その違いです。

情報セキュリティにおける脅威は、意図的脅威、偶発的脅威、環境的脅威の3つに分けられます。意図的脅威は、主に悪意を持った者によってもたらされます。攻撃（不正侵入、ウイルス、改ざん、盗聴、なりすましなど）や盗難、破壊などが挙げられます。偶発的脅威は、人為的ミス（紛失、操作ミス、会話からの情報漏えいなど）、障害（システム障害、ネットワーク障害など）です。そして、環境的脅威は、さまざまな災害（地震、洪水、台風、落雷、火事など）です。

脅威は、ゼロになることは絶対にありません。世の中から悪意を持った人がいなくなれば、意図的脅威はなくなるかもしれません。しかし、人為的なミスや障害などの偶発的脅威や、さまざまな災害である環境的脅威がなくなることはないからです。

脅威を明確にする際には、自分の組織に起こり得るものを洗い出すことが重要です。実際に自分の組織に起こり得ない脅威によって自組織の脆弱性につけ込まれることはありませんので、リスクもないと考えられるからです。

脅威のうち、実際に発生したことがあるものを顕在的脅威と、組織で発生したことはないものの今後発生し得るものを潜在的脅威と呼びます。顕在的脅威は、洗い出すことは難しくないはずですし、洗い出せなくてはなりません。ただ潜在的脅威を洗い出すことは、組織にとって難しいでしょう。自分の組織では起こってもいないことを想定しなくてはならないからです。

潜在的脅威を洗い出すためには、日常的な外部からの情報収集が欠かせません。というのも、脅威は常に変化しているからです。その中から、自組織に関連するものを選別し、情報セキュリティのリスク分析や対策の検討に使えるようにしておくことが必要になります。 次回はリスクの三つの要素「資産」「脆弱性」「脅威」によるリスク分析について説明いたします。