スポンサーリンク

61-03.脅威と脆弱性

スポンサーリンク
脅威と脆弱性 ITパスポート
スポンサーリンク

脅威と脆弱性

情報セキュリティにおける事故情報セキュリティインシデントと呼びます。情報セキュリティインシデントは具体的に、情報資産である各種情報が流出、盗まれる、消失する等の事故です。

この情報セキュリティインシデントは、脅威と脆弱性の2つの要素が組み合わさり発生します。

脅威は、事故を引き起こす要因です。
一方、脆弱性とは、情報セキュリティ上の欠陥になります。

つまり、脅威が脆弱性をついたとき、情報セキュリティインシデントが発生します。

人的脅威・技術的脅威・物理的脅威

脅威は発生原因により、人的脅威、技術的脅威、物理的脅威の3つに大別されます。

脅威説明具体例
人的脅威人間による脅威漏えい、誤操作、内部不正等
技術的脅威ITによる脅威コンピューターウィルス等
物理的脅威物理的な事象による脅威災害、破壊、妨害行為等

人的脅威、技術的脅威の詳細は、『61-00.人的脅威』、『61-00.技術的脅威』で解説をします。

脆弱性

脆弱性は具体的に、バグ、セキュリティホール 、人的脆弱性、シャドーIT等があります。

脆弱性説明
バグプログラムに含まれる誤り
セキュリティホールシステムの欠陥
システムサポート期間内には、セキュリティパッチで欠陥を修正する
人的脆弱性セキュリティに関する組織や人の行動規範・運用管理の未整備、不徹底
シャドーIT通信端末のうち、会社側の承認なく従業員が勝手に持ち込み利用している端末
会社の管理外になるため、脆弱性になる可能性が高い
スポンサーリンク

【まとめ】脅威と脆弱性

それでは最後におさらいをしておきましょう!

用語説明
脅威情報セキュリティインシデントを引き起こす要因
人的脅威・技術的脅威・物理的脅威に大別される
脆弱性情報セキュリティ上の情報システムや組織行動の欠陥
バグプログラムに含まれる誤りのこと
セキュリティホールシステムの欠陥のこと
欠陥が発見されたらセキュリティパッチを配布することが多い
人的脆弱性セキュリティに関する組織や人の行動規範・運用管理の未整備、不徹底
シャドーIT会社側の承認なく従業員が勝手に持ち込んで利用しているもの
利用が管理外になるため、脆弱性になる可能性が高い

コメント

タイトルとURLをコピーしました