「情報セキュリティリスクの要素(脅威・脆弱性)」「リスクアセスメント」の解説

2020年12月13日

情報セキュリティリスクの要素とは?

「情報セキュリティリスク」とは、情報システムとそのデータについて損害やマイナスの影響を生じる可能性を持ったリスクのことです。

「情報セキュリティの脅威」とは、 情報セキュリティリスクを顕在化させる望ましくないインシデントの潜在的な原因のことです。大きく「意図的脅威」・「偶発的脅威」・「環境的脅威」に分類されます。

「情報セキュリティの脆弱性」とは、 一つ以上の脅威によって付け込まれる可能性のある資産又は管理策の弱点のことです。主な例として、「ソフトウェアの脆弱性」・「管理文書・体制の不備」・「災害やトラブルに弱い立地」が挙げられます。

ここで、「意図的脅威」・「偶発的脅威」・「環境的脅威」について説明します。

  • 意図的脅威 :標的型攻撃、マルウェア感染、Webサイトの改ざん等、外部の悪意ある人間の行為のことす。
  • 偶発的脅威:従業員がルールに則らず外部に持ち出したPCや記録媒体が盗難にあったり、システムの操作ミスにより機密情報を漏洩されるケースのことです。
  • 環境的脅威:地震や台風、落雷、火事といった自然災害の脅威のことです。災害によってサーバーなどのハードウェアや電気、建物自体などが使えず情報システムの停止を引き起こします。

なお、「ソフトウェアの脆弱性」・「管理文書・体制の不備」・「災害やトラブルに弱い立地」について説明します。

  • ソフトウェアの脆弱性:ソフトウェアやOSには、潜在的不具合や時間の経過によって、発生した不具合が発見されることがあります。
  • 管理文書・体制の不備:ソフトウェア仕様書や操作手順書の不備、情報管理の体制の不備が、ソフトウェア障害や誤操作、セキュリティ事故対応の遅れの原因となります。
  • 災害やトラブルに弱い立地:災害に見舞われやすい、停電が起きやすい場所などにデータセンターがある場合は、サーバーの故障や破損でシステムが稼働できなくなる可能性が高くなります。

情報セキュリティリスクの要素に関する問題

◆確認問題

情報資産に対するリスクは,脅威と脆弱性を基に評価する。脅威に該当するものはどれか。
   ア.  暗号化しない通信
   イ.  機密文書の取扱方法の不統一
   ウ.  施錠できないドア
   エ.  落雷などによる予期しない停電

出典:平成30年度 秋期 ITパスポート試験公開問題 問67

◆確認問題の解答(エ)、解説・・・各選択肢の解説は、次の通り。

  • ア:盗聴などの脅威によって狙われる弱点のため、「脆弱性」に該当します。
  • イ:機密情報の持出しなどにつながる弱点のため、「脆弱性」に該当します。
  • ウ:入室権限のないものによる不正侵入などにつながる弱点のため「脆弱性」に該当します。
  • エ:正解です。組織やシステムに危害を与える事故の潜在的原因のため、「脅威」に該当します。

リスクアセスメントとは?

「リスクアセスメント」は、企業や組織においてリスクが顕在化する前に、リスクに備える行動・活動のことです。

「リスクアセスメント」に関する詳細解説、関連問題に関しては、下記リンク先も参照下さい。

リスクアセスメントに関する問題

◆確認問題

情報セキュリティにおけるリスクアセスメントの説明として,適切なものはどれか。
   ア.  PCやサーバに侵入したウイルスを,感染拡大のリスクを抑えながら駆除する。
   イ.  識別された資産に対するリスクを分析,評価し,基準に照らして対応が必要かどうかを判断する。
   ウ.  事前に登録された情報を使って,システムの利用者が本人であることを確認する。
   エ.  情報システムの導入に際し,費用対効果を算出する。

出典:平成30年度 秋期 ITパスポート試験公開問題 問68

◆確認問題の解答(イ)、解説・・・各選択肢の解説は、次の通り。

  • ア:「是正処置」の説明になります。
  • イ:正解です。「リスクアセスメント」の説明になります。
  • ウ:「認証」の説明になります。
  • エ:「ITの導入効果測定法」の説明になります。