脅威と脆弱性
情報セキュリティにおける事故を情報セキュリティインシデントと呼びます。情報セキュリティインシデントは具体的に、情報資産である各種情報が流出、盗まれる、消失する等の事故です。
この情報セキュリティインシデントは、脅威と脆弱性の2つの要素が組み合わさり発生します。
脅威は、事故を引き起こす要因です。
一方、脆弱性とは、情報セキュリティ上の欠陥になります。
つまり、脅威が脆弱性をついたとき、情報セキュリティインシデントが発生します。
人的脅威・技術的脅威・物理的脅威
脅威は発生原因により、人的脅威、技術的脅威、物理的脅威の3つに大別されます。
| 脅威 | 説明 | 具体例 |
|---|---|---|
| 人的脅威 | 人間による脅威 | 漏えい、誤操作、内部不正等 |
| 技術的脅威 | ITによる脅威 | コンピューターウィルス等 |
| 物理的脅威 | 物理的な事象による脅威 | 災害、破壊、妨害行為等 |
人的脅威、技術的脅威の詳細は、『61-00.人的脅威』、『61-00.技術的脅威』で解説をします。
脆弱性
脆弱性は具体的に、バグ、セキュリティホール 、人的脆弱性、シャドーIT等があります。
| 脆弱性 | 説明 |
|---|---|
| バグ | プログラムに含まれる誤り |
| セキュリティホール | システムの欠陥 システムサポート期間内には、セキュリティパッチで欠陥を修正する |
| 人的脆弱性 | セキュリティに関する組織や人の行動規範・運用管理の未整備、不徹底 |
| シャドーIT | 通信端末のうち、会社側の承認なく従業員が勝手に持ち込み利用している端末 会社の管理外になるため、脆弱性になる可能性が高い |
【まとめ】脅威と脆弱性
それでは最後におさらいをしておきましょう!
| 用語 | 説明 |
|---|---|
| 脅威 | 情報セキュリティインシデントを引き起こす要因 人的脅威・技術的脅威・物理的脅威に大別される |
| 脆弱性 | 情報セキュリティ上の情報システムや組織行動の欠陥 |
| バグ | プログラムに含まれる誤りのこと |
| セキュリティホール | システムの欠陥のこと 欠陥が発見されたらセキュリティパッチを配布することが多い |
| 人的脆弱性 | セキュリティに関する組織や人の行動規範・運用管理の未整備、不徹底 |
| シャドーIT | 会社側の承認なく従業員が勝手に持ち込んで利用しているもの 利用が管理外になるため、脆弱性になる可能性が高い |
コメント