脅威と脆弱性とリスクの関係
1. 脅威とは
脅威とは、それに悪意が伴うかに関係なく、結果的に組織が保有する情報資産に対して害を及ぼす、または発生する可能性のある事象をいいます。
盗難や不正アクセス、紛失、操作ミス、故障などの他に、地震や火災、洪水といったものも脅威と考えられます。
2. 脆弱性とは
組織の情報資産は、多くの脅威にさらされています。
脆弱性とは、組織の情報セキュリティ体制上、これらの脅威に対する攻撃に弱い状態のことを指します。
第三者が脅威となる行為(システムの乗っ取りや機密情報の漏洩など)やを行うことができる欠陥や仕様上の問題点といったシステム上の問題点や、機密情報の管理体制が整っていないなどといった人間の振る舞いに関する問題点も脆弱性となり得ます。
3. リスクとは
リスクとは、組織の情報セキュリティの脆弱な部分を付いて脅威が侵入し、情報資産の漏えいなどといった被害を及ぼす可能性のことを言います。情報セキュリティが100%完全なものであるならば、リスクは0と言えますが、そのようなことはほとんどなく、組織は常にこのリスクを考慮し、低減するために情報セキュリティを構築することになります。