27-8. 第8章. 用語定義および関係性と識別方法

8-1. 用語の定義、脅威・脆弱性の識別

章の目的

　第8章では、ISO/IEC 27000に記述されている「リスク」、「脅威」、「脆弱性」、「管理策」といった用語の定義、それらの用語の関係性、脅威や脆弱性の識別方法を理解することを目的とします。

主な達成目標

・ ISMSの管理策について、テーマと属性という観点を学んだ上で管理策の構成を理解すること

主なキーワード脅威、脆弱性、リスク、セーフガード（管理策）

要旨

8章の全体概要

8章では、リスクマネジメントを理解するために必要となる「リスク」、「脆弱性」、「脅威」といった用語の定義とそれらの関係、「脅威」、「脆弱性」の識別方法について説明しています。

8-1. 用語の定義、脅威・脆弱性の識別
用語の定義と関係性
　企業や組織にはセキュリティ上のリスクが存在しています。これらのリスクを効率的に管理するには、リスクマネジメントを⾏う必要があります。リスクマネジメントを理解するために必要となる用語の定義や関係性を説明しています。
脅威、脆弱性、情報資産、セーフガード（管理策）、リスクの関係をわかりやすく図で表すと以下のようになります。

図108. 脅威、脆弱性、情報資産、セーフガード（管理策）、リスクの関係
（出典）「ISO/IEC TR 13335-1」をもとに作成

脅威の識別
　脅威は「脆弱性」につけいり顕在化することで、組織に損失や損害を与える事故を⽣じさせます。
脅威を、⼈為的脅威（意図的脅〇威、偶発的脅威）と環境的脅威に区別して把握することで、必要なセキュリティ対策を整理しやすくなります。

【脅威の種類】環境的脅威
（Environmental → E）

想定される被害とセキュリティ対策環境的脅威として地震や⾼潮がありますが、地震や⾼潮の発⽣そのものをコントロールすることはできません。従って、地震の発⽣可能性が低い場所を選択する、地震が発⽣した場合に素早く検知し、災害から回復することを重視するなどのセキュリティ対策が選択されることになります。

【脅威の種類】⼈為的脅威
意図的脅威（Deliberate → D）

想定される被害とセキュリティ対策「（内部者が企業秘密を）漏えいする」という脅威が考えられます。このような脅威については、当該⾏為が犯罪⾏為（不正競争防⽌法違反）であり、罰せられること、会社は企業規則により漏えい者を罰すること、場合によっては損害賠償請求を⾏うということを規程で明確に⽰し、教育を実施するという抑⽌的なセキュリティ対策が有効になります。漏えいを早期に検知するといったセキュリティ対策も重要になります。

【脅威の種類】偶発的脅威
（Accidental → A）

想定される被害とセキュリティ対策「⼊⼒ミス」がありますが、⼊⼒ミスが⽣じないように、⼆回ずつ⼊⼒する、⼀定の範囲の値しか⼊⼒できないようにする、チェックデジットやチェックサムを設けるといった技術対策が有効となります。

脅威の分類と、被害例と対策
（出典）MSQA「ISMS推進マニュアル活用ガイドブック 2022年1.0版」をもとに作成

脆弱性の識別
　脆弱性があるだけでインシデントが発⽣するわけではありません。しかし、脆弱性は脅威を顕在化させ、インシデントの発⽣確率を⾼める可能性があります。脆弱性を減らすためには、適切な管理策を実施する必要があります。脆弱性の存在は、管理策の⽋如を意味するものでもあるため、脆弱性を識別することは必要な管理策を識別するのに役⽴ちます。

訴求ポイント

章を通した気づき・学び
　リスクマネジメントで使用される「脅威」、「脆弱性」、「リスク」といった用語の定義や関係性を理解することは、サイバーセキュリティ対策の第⼀歩でもあります。また「脅威」、「脆弱性」の識別方法について理解することは、適切なセキュリティ対策の実施に不可⽋です。

認識していただきたい実施概要

• 「脅威」「脆弱性」「資産の価値」のいずれかが増加することで、リスクが増大すること。
• リスクを減少させるためには「脅威」、「脆弱性」、「資産の価値」を識別し、リスクに対する保護要求事項を明らかにし、保護要求事項に合致するセーフガード（管理策）を適切に実施することが必要であること。

詳細理解のため参考となる文献（参考文献）

ISO/IEC TR 13335-1

ISO/IEC 27005:2022

27-7. 第7章. セキュリティ対策の概要（全容） 27-9. 第9章. 具体的手順の作成（Lv.1 クイックアプローチ）

目次に戻る