日商 Assist Biz

更新

企業を襲うサイバー脅威 「脆弱(ぜいじゃく)性」につけこむ「脅威」とは

前回は、情報セキュリティ上の守るべきもの「資産」が持っている「脆弱(ぜいじゃく)性」について説明いたしました。今回は「脆弱性」につけ込むことで損害や影響をもたらす「脅威」について説明します。

「脅威」とは、組織に損害などを与える可能性である「リスク」を引き起こす要因です。「リスク」と「脅威」は混同されがちですが、「リスク」は可能性で、「脅威」は要因であることが、その違いです。

情報セキュリティにおける脅威は、意図的脅威、偶発的脅威、環境的脅威の3つに分けられます。意図的脅威は、主に悪意を持った者によってもたらされます。攻撃(不正侵入、ウイルス、改ざん、盗聴、なりすましなど)や盗難、破壊などが挙げられます。偶発的脅威は、人為的ミス(紛失、操作ミス、会話からの情報漏えいなど)、障害(システム障害、ネットワーク障害など)です。そして、環境的脅威は、さまざまな災害(地震、洪水、台風、落雷、火事など)です。

脅威は、ゼロになることは絶対にありません。世の中から悪意を持った人がいなくなれば、意図的脅威はなくなるかもしれません。しかし、人為的なミスや障害などの偶発的脅威や、さまざまな災害である環境的脅威がなくなることはないからです。

脅威を明確にする際には、自分の組織に起こり得るものを洗い出すことが重要です。実際に自分の組織に起こり得ない脅威によって自組織の脆弱性につけ込まれることはありませんので、リスクもないと考えられるからです。

脅威のうち、実際に発生したことがあるものを顕在的脅威と、組織で発生したことはないものの今後発生し得るものを潜在的脅威と呼びます。顕在的脅威は、洗い出すことは難しくないはずですし、洗い出せなくてはなりません。ただ潜在的脅威を洗い出すことは、組織にとって難しいでしょう。自分の組織では起こってもいないことを想定しなくてはならないからです。

潜在的脅威を洗い出すためには、日常的な外部からの情報収集が欠かせません。というのも、脅威は常に変化しているからです。その中から、自組織に関連するものを選別し、情報セキュリティのリスク分析や対策の検討に使えるようにしておくことが必要になります。 次回はリスクの三つの要素「資産」「脆弱性」「脅威」によるリスク分析について説明いたします。

長谷川長一(はせがわ・ちょういち) ソフトバンク、日本ユニシスを経て、株式会社ラックに入社。情報セキュリティ業界の先駆者として知られる同社で現在は、主にセキュリティ教育業務を担当している。『CISSP-行政情報セキュリティ公式ガイドブック』(アスキー出版)や『情報セキュリティ監査公式ガイドブック』(日科技連出版社)など著書多数

次の記事

企業を襲うサイバー脅威 情報セキュリティにおける「リスク分析」

長谷川長一

前回は、「脆弱性」につけ込むことで被害や影響をもたらす「脅威」について説明いたしました。これまでの回で説明したとおり、情報セキュリティ対...

前の記事

企業を襲うサイバー脅威 「資産」が持っている弱点、「脆弱性(ぜいじゃくせい)」とは

長谷川長一

前回は、情報セキュリティ上の守るべきものである「資産」について説明いたしました。今回は、情報セキュリティ上の守るべきもの「資産」が必ず持...

関連記事

企業を襲うサイバー脅威 企業内部の人的脅威③「ヒューマンエラー」

長谷川長一

今回は人的脅威の中の非意図的なもの、「ヒューマンエラー」について取りあげます。「ヒューマンエラー」には、「誤操作」「設定ミス」「紛失・置...

企業を襲うサイバー脅威 企業内部の人的脅威②「内部不正」

長谷川長一

今回は人的脅威の中の“意図的脅威”である情報セキュリティー上の「ルール違反」について取りあげます。「ルール違反」は、前回取り上げた「内部不...

企業を襲うサイバー脅威 企業内部の人的脅威①「内部不正」

長谷川長一

今月からは、企業内部の人的脅威について取り上げます。情報セキュリティーにおける人的脅威には、意図的なものと非意図的なものがあります。まず...