情報資産・脅威・脆弱性
- 情報資産=だいじなもの、脅威 = それを脅かすもの、脆弱性 = 脅威がつけいる隙。 三つが揃うと、リスクが顕在化する
- どんな情報資産があるかわかってないと始まらない。 資産管理台帳で把握する。
- 不正のトライアングル=機会、動機、正当化
情報資産・脅威・脆弱性の関係
情報資産と脅威
情報セキュリティを考える上で最も重要なのは、守るべき範囲を決定することである。守るべき対象が明確化されていなければ、それを適切に保護していくことは不可能である。
したがって、セキュリティ対策を考える際にはまず自社がもつ情報セキュリティの中で保護されるべき対象を洗い出す。これを情報資産とよぶ。
守るべき情報資産が明確になれば、それに対する脅威を明確にすることができる。例えば、紙に印刷されている情報であれば、火は大きなリスクになるだろう。同じ情報がハードディスクに納められている場合は、火よりも磁石が大きな脅威になる可能性がある。
このように情報資産ごとに脅威は異なるため、情報資産を完全に把握しなければならない。そこで、この段階で利用されるのが情報資産管理台帳である。 台帳が作成されていない企業の場合は、この作成からセキュリティ 対策を開始することになる。
脆弱性の存在
さらに注意しなくてはならないのは、ある情報資産に対して脅威があるだけではリスクは顕在化しないということである。
先ほどの書類の例でいえば、書類という情報資産について火という脅威が存在するが、これがリスクとして顕在化するのは、書類が火の気のあるところに置かれた場合である。こうしたリスクを顕在化させる状況のことを脆弱性とよぶ。
脅威が存在しても、脆弱性がなければリスクは現実のものにならない。また、脆弱性があっても脅威が存在しなければリスクにならない。つまり、情報資産+脅威+脆弱性=リスクのうち、どれが欠けてもリスクは成立しない。脅威と脆弱性が一体化したときに、 情報資産に対するリスクが発生するのである。
有効な情報セキュリティを実施するためにはリスクをきちんと把握する必要があり、リスクを把握するためには自社にどのような情報資産、脅威、脆弱性があるかを常に掌握している必要がある。 そして、リスクを許容可能な水準に留めるための活動が情報セキュリティ、情報セキュリティ対策などとよばれるものである。
(参考)令和08年 情報セキュリティマネジメント 合格教本 岡嶋 裕史(著)技術評論社
コメント