今回は、情報セキュリティにおいて重要な要素である「脅威」と「脆弱性」について解説します。
情報セキュリティの三要素(CIA)
脅威とは
脅威とは、情報やシステムに対する潜在的な危害や悪影響を指します。脅威は外部からの攻撃だけでなく、内部からの問題や自然災害など、情報資産に影響を及ぼす可能性のあるあらゆる要因を含みます。ここでいう情報資産とは、情報セキュリティの中で保護されるべき対象を指します。
主な脅威の種類
脅威の種類は以下の3つに分けることが出来ます。
- 物理的脅威
- 技術的脅威
- 人的脅威
物理的脅威には、火災や地震、落雷や洪水などが挙げられます。
技術的脅威には、不正アクセスや盗聴、マルウェアなどが挙げられます。
人的脅威には、人的なミスや内部犯による攻撃などが挙げられます。
脆弱性とは
脆弱性とは、情報資産やシステムに存在する弱点や欠陥を指します。脆弱性がある場合、脅威がその弱点を悪用することで被害が生じる可能性があります。
主な脆弱性の種類
脆弱性に関しても、脅威と同様に以下の3つに分けることが出来ます。
- 物理的脆弱性
- 技術的脆弱性
- 人的脆弱性
物理的脆弱性には、耐震・耐火構造の不備やファシリティチェックの不備、機器故障対策の不備や紛失対策の不備などが挙げられます。
技術的脆弱性には、アクセスコントロールの不備やマルウェア対策の不備、セキュリティホールやテストの不備などが挙げられます。
人的脆弱性には、組織管理の不備や過失、状況的犯罪予防が挙げられます。
脅威と脆弱性の関係
脅威と脆弱性は単独では被害を引き起こしません。しかし、脆弱性が存在し、それを脅威が悪用することでセキュリティインシデントが発生します。
脅威 + 脆弱性 = リスク
例えば、未使用のソフトウェア(脆弱性)に外部の攻撃者(脅威)がマルウェアを仕掛けることで、情報漏洩やサービス停止が引き起こされます。
他には、従業員の誤操作(脆弱性)により、不正アクセス(脅威)がシステムに侵入することもあります。
リスクを減らすために
リスクを減らすためには、ぜいじゃくせいを可能な限り除去していくことが不可欠です。脆弱性が存在すると、それを狙う脅威によって被害が発生するリスクが高まります。
そのため、組織や個人は継続的な努力によってシステムの弱点を発見し、修正することが求められます。これにより、情報資産を安全に保護し、予期しない事態を未然に防ぐことが出来ます。
まとめ
今回は、情報セキュリティにおいて重要な要素である「脅威」と「脆弱性」について解説しました。脅威と脆弱性が組み合わさることでセキュリティインシデントが発生することが分かりました。
このサイトでは、ITに関する記事を投稿しています。ぜひ他の記事もご覧ください。
