情報セキュリティにおけるリスク

情報セキュリティにおけるリスクには3つの要素があります。

 

情報資産：保護対象

脅　　威：情報資産を脅かすもの

脆  弱  性：脅威に対する自分の弱点

 

つまり、「守るべき情報資産があり、その情報資産を脅かす存在があり、それに対応できていない状態」の事を「リスクが顕在化している状態」と言います。

 

なお、情報資産に対する脅威は様々であり、情報資産によって脅威も異なります。例えば、「紙の情報」には「火事」が大きな脅威になりますし、「USBメモリに入った情報」には「紛失」が大きな脅威になります。・・・以外に身近ですよね。ですので、守るべき情報資産を特定し、その脅威を見極めて、それに対する適切な対応が必要です。

 

「情報資産台帳」の利用

そのために整備する必要があるのが「情報資産台帳」です。ここに記入するべき主な事例としては、

・保有しているルータ

・保有しているパソコン（OS、メモリ、アプリ、…）

・社員情報

・顧客情報

などがあります。

 

3つの脆弱性分類

 

【　物理的脆弱性　】

社屋が耐震構造になっていない、サーバ室に可燃物が放置されている、社屋への進入路が開かれているなど、物理的な施策でコントロールが可能な弱点

 

【　技術的脆弱性　】

ソフトウェア製品のセキュリティホール、コンピュータシステムへのウイルスの混入、アクセスコントロールの未実装など、システムの設定やアップデートによってコントロール可能な弱点

 

【　人的脆弱性　】

内部犯による情報資源の持ち出し、オペレータの過失によるデータの喪失・ご入力など、人（多くは内部の社員）が介在する弱点

 

リスクへの対応は、まず、そのリスクが許容できる範囲かを検討します。そして、許容できないのであれば、「リスクの低減」「リスクの移転」「リスクの回避」を実施し、許容できるのであれば、そのリスクを受け入れます（リスクの受容）。

 

リスクをすべて除去する必要はないですし、すべてを除去することは現実的ではありません。だからといって何もしなくていいという事でもないのです。情報セキュリティについて、不安を抱えている方は、ぜひご相談下さい。