8-1. 用語の定義、脅威・脆弱性の識別

 

章の目的

第8章では、ISO/IEC 27000に記述されている「リスク」、「脅威」、「脆弱性」、「管理策」といった用語の定義、それらの用語の関係性、脅威や脆弱性の識別方法を理解することを目的とします。

主な達成目標

⚫︎ ISMSの管理策について、テーマと属性という観点を学んだ上で管理策の構成を理解すること

 

主なキーワード 脅威、脆弱性、リスク、セーフガード（管理策）

 

要旨

8章の全体概要

８章では、リスクマネジメントを理解するために必要となる「リスク」、「脆弱性」、「脅威」といった用語の定義とそれらの関係、「脅威」、「脆弱性」の識別方法について説明しています。

 

8-1. 用語の定義、脅威・脆弱性の識別

用語の定義と関係性

企業や組織にはセキュリティ上のリスクが存在しています。これらのリスクを効率的に管理するには、リスクマネジメントを行う必要があります。リスクマネジメントを理解するために必要となる用語の定義や関係性を説明しています。

脅威、脆弱性、情報資産、セーフガード（管理策）、リスクの関係をわかりやすく図で表すと以下のようになります。

図116. 脅威、脆弱性、情報資産、セーフガード（管理策）、リスクの関係
(出典)「ISO/IEC TR 13335-1」をもとに作成

脅威の識別

脅威は「脆弱性」につけいり顕在化することで、組織に損失や損害を与える事故を生じさせます。脅威を、人為的脅威（意図的脅威、偶発的脅威）と環境的脅威に区別して把握することで、必要なセキュリティ対策を整理しやすくなります。

 

脅威の種類		想定される被害とセキュリティ対策
環境的脅威（Environmental → E）		環境的脅威として地震や高潮がありますが、地震や高潮の発生そのものをコントロールすることはできません。従って、地震の発生可能性が低い場所を選択する、地震が発生した場合に素早く検知し、災害から回復することを重視するなどのセキュリティ対策が選択されることになります。
人為的脅威	意図的脅威 (Deliberate → D)	「（内部者が企業秘密を）漏えいする」という脅威が考えられます。このような脅威については、当該行為が犯罪行為（不正競争防止法違反）であり、罰せられること、会社は企業規則により漏えい者を罰すること、場合によっては損害賠償請求を行うということを規程で明確に示し、教育を実施するという抑止的なセキュリティ対策が有効になります。漏えいを早期に検知するといったセキュリティ対策も重要になります。
	偶発的脅威 (Accidental → A)	「入力ミス」がありますが、入力ミスが生じないように、二回ずつ入力する、一定の範囲の値しか入力できないようにする、チェックデジットやチェックサムを設けるといった技術対策が有効となります。

脅威の分類と、被害例と対策
（出典）MSQA「ISMS推進マニュアル活用ガイドブック 2022年 1.0版」をもとに作成

脆弱性の識別

脆弱性があるだけでインシデントが発生するわけではありません。しかし、脆弱性は脅威を顕在化させ、インシデントの発生確率を高める可能性があります。脆弱性を減らすためには、適切な管理策を実施する必要があります。脆弱性の存在は、管理策の欠如を意味するものでもあるため、脆弱性を識別することは必要な管理策を識別するのに役立ちます。

 

訴求ポイント

章を通した気づき・学び

リスクマネジメントで使用される「脅威」、「脆弱性」、「リスク」といった用語の定義や関係性を理解することは、サイバーセキュリティ対策の第一歩でもあります。また「脅威」、「脆弱性」の識別方法について理解することは、適切なセキュリティ対策の実施に不可欠です。

 

認識していただきたい実施概要

⚫︎ 「脅威」「脆弱性」「資産の価値」のいずれかが増加することで、リスクが増大すること。 ⚫︎ リスクを減少させるためには「脅威」、「脆弱性」、「資産の価値」を識別し、リスクに対する保護要求事項を明らかにし、保護要求事項に合致するセーフガード（管理策）を適切に実施することが必要であること。

 

詳細理解のため参考となる文献（参考文献）
ISO/IEC TR 13335-1	https://www.iso.org/standard/39066.html
ISO/IEC 27005:2022	https://www.iso.org/standard/80585.html