セキュリティの勉強に入るまえに、この3つの用語は絶対に抑えるべきだと思います。
なぜならセキュリティの対策はこの4つがあるから必要になってくるわけですが、
セキュリティやITの現場ではなく、日常でも使うため、わかりそうででもわからないからです。
私も現場でいろんな人がいろんな意味や範囲で使って日々混乱するので、まずは定義して自分の中に基盤を作ろうと思いました。
教科書の定義
まずは教科書の定義。
<脅威>
情報資産を保持する組織や情報システムなどに損害を与える可能性がある出来事を脅威といいます。
<脆弱性>
脆弱性とは、脅威が起こる可能性がある情報資産や情報資産を含むシステムの弱点のことです。
<リスク>
リスクとは、脅威によって情報資産に与えられる損害のことです。
「情報セキュリティ管理士認定試験 公式テキスト」より引用
この3つの中でも、特に、脆弱性がわからなかったので、
このわかりそうでわからない言葉を調べてみました。
脆弱性とは?
参考サイト:脆弱性とは?その原因と対策方法を知ってリスクを減らそう
脆弱性、といったとき、私はSWの脆弱性(例えばwindowsなど)を思い浮かべましたが、調べてみると「外部からの攻撃が可能な弱点」を示すもので、必ずしもシステムに限ったものではない、ということがわかりました。
“一方、脆弱性はセキュリティホールとよく似た意味で使われることが多い言葉です。しかし脆弱性はセキュリティホールとは異なり、ソフトウェア上での単純な欠陥ではなく、仕様通りに作られたものであっても、外部からの攻撃に対して弱点となる点があれば、それは脆弱性と呼ばれます。正常な機能として開発された機能でも、意図せずに外部から悪用される事があれば、それは脆弱性ということになります。”
だから、例えば会社でプリントアウトした紙の廃棄ルールがなく、皆の机の上が汚かったら、掃除の業者に扮したスパイが情報を持ち出してしまう可能性があります。
このようなシステム的なものでないものも、“脆弱”ということができるんですね。
リスクの計算方法
またこの3つの関係性は以下のような掛け算で表すことができます。
情報セキュリティリスクの大きさ = 情報資産の価値 × 脅威の大きさ × 脆弱性の度合い
・資産の重要度=攻撃されたときどれくらいビジネスに影響がでてしまうか?(影響範囲の広さ)/会社にとってどれだけ重要な情報がふくまれているか?
・脅威の大きさ=脅威の発生可能性(その攻撃の可能性)
・脆弱性の度合い=何が引き起こされるか?
極端なことをいえば、あるソフトウェアに欠陥が見つかって、そのソフトウェアを使うとネットワークを使って情報が漏れてしまう、ということが分かったとしても、
その会社ではその会社ではPCをネットワークにつないでいない!ということであれば、情報セキュリティのリスクは小さくなるわけです。
私たちは、たくさんのリスクに囲まれているため、全てに対応するのではなく、
優先順位をつけて、重要なところから対応をしていく、ということになります。
参考リンク
IPAの定義https://www.ipa.go.jp/about/technicalwatch/2013096.html
こちらのIPA資料p13では、上記計算に基づき表で表現をしています。
その他の関連用語
その他の関連用語はコチラ⬇︎