Udemyで講座を受講しよう!
Security

脅威と脆弱性とリスク

Yujiro Sakaki

ここでいきなり、ゆみちゃんからの問題です。

情報セキュリティの分野では「脅威」と「脆弱性」が重要な概念となります。さて、読者の皆さまに質問です

情報セキュリティにおいて、「脅威」と「脆弱性」、コントロールできるのはどちらでしょう?

この講座の学習ポイント
  • 脅威・脆弱性・リスク
  • ゼロデイ攻撃
  • ホワイトハッカー・グレーハッカー・ブラックハッカー
  • スクリプトキディ
  • ハクティビスト
  • サイバーテロリスト

第6講

それでは答えです。

脅威と脆弱性、コントロールできるのは「脆弱性」です。「脅威」は人間がコントロールができません

いつ狙われるかもわかりませんし、いつ自然災害が起きるのかもわかりません。そのため、脅威はゼロになることはない、ということが言えます。

それでは改めて、脅威とは何か? 説明していきましょう。

脅威とは?

情報資産に対して、損害を与える可能性のある事象や活動を指します。

自然災害、サイバー攻撃、内部不正などが脅威の例です。脅威は常に存在し、完全にゼロにすることはできません。

脆弱性とは?

情報資産が脅威に対して、無防備である状態を指します。

システムの設計ミスや、セキュリティ対策の不備などが脆弱性の原因となります。脆弱性に関しては、発見されるたびに修正や対策を施すことで、ゼロにすることが可能です。

例えば、緊急のWindowsアップデートはすぐに行う、導入しているアプリケーションソフトのバージョンが古い場合は最新版に保つ、安易に推測されそうな弱いパスワードを使わない、などが対策として挙げられます。

ここで、次の計算式を用いることで「リスク」を表現できます。

 脅威 × 脆弱性 = リスク

リスクとは?

リスクとは、脅威と脆弱性が組み合わさったときに発生する、情報資産に対する潜在的な損害の可能性を指します。

リスクは、脅威が実際に発生し、脆弱性がそれに対処できない場合にのみ、現実の問題となります。このリスクをできる限り最小にするためにも、脆弱性の数値は常に「0」にしておく必要があると伺えますよね。

例えば、脅威の大きさを「3」、脆弱性の度合いを「2」とすると、リスクは3×2=「6」となります。脅威は常に存在するので、脆弱性を減らすことでリスクを低減できるの

システムの保守契約って、傍からすると何もやっていないように見えるけど、特に脆弱性を減らすためにも重要な契約だよね

リスクの数値で、どのようなアクションを取るか?

それらを設計することをリスク評価といいます。リスク評価に関しては、リスクアセスメントのお話が出てきたときに詳しく解説しますね。

それでは、脆弱性が見つかった場合を考えてみましょう

ゼロデイ攻撃

脆弱性が見つかってから、修正パッチが適用されるまでの間に攻撃されることです。

この期間はシステムが無防備な状態であり、脆弱性が見つかったその日から攻撃を受ける可能性があるため、ゼロデイ攻撃と言われています。

ここで、攻撃者に相当するハッカーの分類を見ておきましょう。

  • ホワイトハッカー
    • 善意でシステムのセキュリティを強化するために活動するハッカー。また、国家のために働く人(ミッション・イン・ポッシブルのトム・クルーズ演じるイーサン・ハントみたい人)のことを国家アクターとも呼んだりしています
  • ブラックハッカー
    • 目的を持ってシステムに侵入し、データを盗んだり、破壊したりするハッカー。ホワイトハッカーから見て対極にいる攻撃側のハッカー
  • グレーハッカー
    • 善意と悪意の中間ハッカー。例として、善意でセキュリティの脆弱性を見つけ、それをみんなに知らせるためYouTubeで公開してしまうような困ったさんが該当します

これらのハッカーの名称は、西部劇に登場する帽子の色に由来しています。

ホワイトハッカーは、白い帽子をかぶったヒーロー。ブラックハッカーは、黒い帽子をかぶった悪役。グレーハッカーは、その中間を示しています。

情報セキュリティには、攻撃者の種類として以下の呼び名もあります。

  • スクリプトキディ
    • 動作を理解しないまま、好奇心でハッキングツールを使用してしまう人
  • ハクティビスト
    • 社会的、政治的、宗教的な理由で活動するハッカー
  • サイバーテロリスト
    • ネットワークを対象に行う破壊活動者。人や社会機能に危害を与える(病院への攻撃など)テロリスト

攻撃者という漠然とした言葉でなく、こんなふうに一覧となるとちょっと怖くなるね。くわばら、くわばら…

第6講のまとめ

脅威は常に存在し続けるものですが、脆弱性は発見して修正することで、可能な限りゼロにすることができます。

脅威と脆弱性の組み合わせがリスクを生み出し、そのリスクを管理することが情報セキュリティの鍵となります。

リスクは可能な限り0であるべきだけれども、脅威は常に存在する。そういうものだと割り切って考えることで、情報セキュリティ担当者の燃え尽き症候群(バーンアウト)を防ぐこともできます

Advertisement
ABOUT ME
榊 裕次郎
榊 裕次郎
Excel講師
1981年10月生まれのてんびん座、東京都出身。趣味は、旅行と料理とワイン。2024年は、佐賀県に行って「呼子のイカ」を思いっきり食べたいです。

引き続き、青森・秋田・岩手でのお仕事ご依頼、お待ちしております!
記事URLをコピーしました