検索
セキュリティリスク = 「発生可能性」×「影響度」
脅威
脅威はインシデントの潜在的な要因で、システムに悪影響を与える事象です。コントロールが比較的困難ですが、未然防止策として取り組むべきものです。
たとえば、テロや自然災害といった要因によるシステム停止等の脅威、従業員による内部不正行為(内部脅威)、人的なミス(メール誤送信や、誤ったコマンド実行によるデータ消去やシステム停止など)、外部からのサイバー攻撃といった脅威(外部脅威)があります。
脆弱性
脆弱性はコンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥で、「セキュリティホール」とも呼ばれます。脆弱性が残された状態でコンピュータ等を利用していると、不正アクセスに利用されたり、ウイルスに感染したりする危険性があります。
たとえば、「セキュリティパッチが当てられていない」「データへのアクセス制御が正しく設定されていない」「データのバックアップが取られていない」といった状態を指します。
バックアップに関しては、システムバックアップやデータバックアップを取得していても、初期構築後や環境変更の設定ファイルなどのバックアップが対象から漏れて復旧が困難なこともあり、これも脆弱性の一種です。
ランサムウェアの手口は、データを暗号化してシステムを利用できなくするため、復旧のために必要なバックアップがないことも脆弱性の1つであると捉えることができます。
価値
価値は、組織に与える影響度のことです。情報資産の価値は、会計的な価値だけではなく、ブランド価値も含まれます。
たとえば、顧客データの漏えいは、企業のブランド価値を損ねる重大なインシデントです。また、サイバー攻撃によって、システムの稼働停止や株価への影響といった価値の毀損が発生します。
サイバー攻撃を受け株式取引の停止や株価急落につながることも
最近では、持続可能性を重視するESG(環境・社会・企業統治)投資において、サイバーセキュリティ対策を新たな評価軸に加える動きが広がりつつあります。海外ではシステムが不正アクセスを受けた影響を投資家や関係者が重く見て、株式取引の停止や株価急落につながった例がいくつもあります。
ただし、同時期に世の中で大きな事件が発生してメディアがあまり取り上げないなど、外部要因によって価値への影響度が変わる場合もあるため、状況に応じて価値を測る必要があります。
