2009年12月17日 [ コラム ]
リスクと脅威
このコラムが今年最後の更新かもしれない。1年はあっという間である・・・。
前回は「情報の格付け」について述べたが、そもそも、なぜ情報に格付けなどが必要なのだろうか?
それは、情報セキュリティの観点から様々なリスク(危険性)があり、各々の情報の格付けに応じてリスクへの対応が異なってくるからである。
その対応を明確にするために格付けを行うわけである。
今回は「リスクと脅威」について。
情報セキュリティとは「機密性」「可用性」「完全性」を維持することであり、対象情報の種類によってこれらのレベルが異なることを前回までのコラムで紹介した。
そして、情報セキュリティを脅かすリスクは、
リスク=【情報資産】×【脅威】×【脆弱性】
で表わせる。
【情報資産】とはセキュリティレベルの格付けの数値であり当社では1~3段階に分類している。(前回のコラム「情報の格付け」を参照頂きたい。)
【脅威】や【脆弱性】についても同様の評価を行い1~3で数値化する。
【脅威】の場合、数値が高いほど発生時の影響度が高いことを意味し、【脆弱性】の場合は脅威に対する防御力が弱いことを意味する。
脅威や脆弱性の具体例は次の通りである。
分類
|
脅威
|
脆弱性
|
物理的
|
火災
|
耐震・耐火構造の不備
|
地震
|
機器故障対策の不備
|
|
落雷(停電)
|
紛失対策の不備
|
|
機器の故障
|
|
|
侵入者による物理的な破壊・盗難
|
|
|
技術的
|
不正アクセス
|
セキュリティホール
|
盗聴
|
ウイルス対策の不備
|
|
DoS攻撃(サービス妨害)
|
アクセスコントロールの不備
|
|
コンピュータウイルス
|
|
|
人的
|
不正アクセス
|
組織管理の不備 (内部犯)
|
サボタージュ
|
過失
|
|
内部犯
|
|
このように各々の情報に対する【脅威】や【脆弱性】の具体例をリストアップし、その結果を評価し、
リスク値=【情報資産】×【脅威】×【脆弱性】
に基づきリスク値を求めていく。これが「リスクアセスメント」である。
『リスクと利便性』の話になかなか戻れないが、もう少しお付き合い頂きたい。
次回は『リスクアセスメントの実際』である。