組織が手軽に情報セキュリティを推進するための様々な知識・ノウハウを集めたサイトです。

情報セキュリティ事件事故のリスク

それでは、情報セキュリティ事故を発生させないようにするにはどうしたら良いか、について、情報資産がおかれている状況を見てみましょう。

まずは身近な問題として、お金という資産を考えてみます。お金は泥棒に盗まれるという危険があります(お金が盗まれると盗難事件となってしまいます)。しかし、お金を家の金庫に保管して、家のカギをしっかりと掛けていれば、盗まれる危険は低いと言えます(お金をタンスに入れて、家のカギをかけ忘れたりすると、…)。

これは、情報資産にも同様に言えることです。例えば、顧客情報を考えてみます。顧客情報をサーバに保管し、アクセス制御等により不正なアクセスから保護しておくことが重要です。しかし、もしもサーバに不備があって、その不備(例えばOSのセキュリティホール)をクラッカーに狙われてしまうと、アクセス制御も効かず、サーバにある顧客情報を抜き取られるという情報漏えい事件となってしまいます。

ここで言う「泥棒」「クラッカー」を脅威、「家のカギかけ忘れ」「サーバの不備」を脆弱性と呼んでいます。

sec-basic01

いくら脅威が大きくても(泥棒やクラッカーに狙われても)、脆弱性が大きくても(窓があけっぱなしだったり、アクセス制御もしてなかったり)、資産が盗ま れることはないかもしれませんが、盗まれる確率は高くなると思います。すなわち、盗まれるリスクが高くなるのです。また、資産の価値が高いほど(金額が大きかったり、大量の顧客情報だったり)盗まれた 時のインパクトは大きくなるでしょう。
これらを合わせて下記の関係式が一般的に言われています。

リスクの大きさ = 資産の価値 × 脅威の程度 × 脆弱性の程度

sec-basic02

従って、情報セキュリティ事件・事故が起こらないようにする(発生確率を小さくする)には、リスクの大きさを小さくする=上の3つの要素を小さくする、ということが分かります。

しかし、上の式を見て、資産の価値を小さくするのは、「お金」「顧客情報」等を減らすことで、現実的ではありません。脅威の程度を小さくするのは、「泥棒」「クラッカー」を減らすことで、取り締まりを厳しくして減らせればよいですが、なかなか減らせないのが実情です。脆弱性の程度を小さくするのは、「カギの掛け忘れ」「サーバの不備」等を減らすことで、これらは私たちが実践できることです。

すなわち、脆弱性を小さくすることが情報セキュリティに他ならないのです。

 

【補足】————————————————————————-

PAGETOP