脅威と脆弱性とリスク

ここでいきなり、ゆみちゃんからの問題です。

情報セキュリティの分野では「脅威」と「脆弱性」が重要な概念となります。さて、読者の皆さまに質問です

情報セキュリティにおいて、「脅威」と「脆弱性」、コントロールできるのはどちらでしょう？

第6講

それでは答えです。

脅威と脆弱性、コントロールできるのは「脆弱性」です。「脅威」は人間がコントロールができません

いつ狙われるかもわかりませんし、いつ自然災害が起きるのかもわかりません。そのため、脅威はゼロになることはない、ということが言えます。

それでは改めて、脅威とは何か？　説明していきましょう。

脅威とは？

情報資産に対して、損害を与える可能性のある事象や活動を指します。

自然災害、サイバー攻撃、内部不正などが脅威の例です。脅威は常に存在し、完全にゼロにすることはできません。

脆弱性とは？

情報資産が脅威に対して、無防備である状態を指します。

システムの設計ミスや、セキュリティ対策の不備などが脆弱性の原因となります。脆弱性に関しては、発見されるたびに修正や対策を施すことで、ゼロにすることが可能です。

例えば、緊急のWindowsアップデートはすぐに行う、導入しているアプリケーションソフトのバージョンが古い場合は最新版に保つ、安易に推測されそうな弱いパスワードを使わない、などが対策として挙げられます。

ここで、次の計算式を用いることで「リスク」を表現できます。

リスクとは？

リスクとは、脅威と脆弱性が組み合わさったときに発生する、情報資産に対する潜在的な損害の可能性を指します。

リスクは、脅威が実際に発生し、脆弱性がそれに対処できない場合にのみ、現実の問題となります。このリスクをできる限り最小にするためにも、脆弱性の数値は常に「０」にしておく必要があると伺えますよね。

例えば、脅威の大きさを「３」、脆弱性の度合いを「２」とすると、リスクは３×２=「６」となります。脅威は常に存在するので、脆弱性を減らすことでリスクを低減できるの

システムの保守契約って、傍からすると何もやっていないように見えるけど、特に脆弱性を減らすためにも重要な契約だよね

リスクの数値で、どのようなアクションを取るか？

それらを設計することをリスク評価といいます。リスク評価に関しては、リスクアセスメントのお話が出てきたときに詳しく解説しますね。

それでは、脆弱性が見つかった場合を考えてみましょう

ゼロデイ攻撃

脆弱性が見つかってから、修正パッチが適用されるまでの間に攻撃されることです。

この期間はシステムが無防備な状態であり、脆弱性が見つかったその日から攻撃を受ける可能性があるため、ゼロデイ攻撃と言われています。

ここで、攻撃者に相当するハッカーの分類を見ておきましょう。

これらのハッカーの名称は、西部劇に登場する帽子の色に由来しています。

ホワイトハッカーは、白い帽子をかぶったヒーロー。ブラックハッカーは、黒い帽子をかぶった悪役。グレーハッカーは、その中間を示しています。

情報セキュリティには、攻撃者の種類として以下の呼び名もあります。

攻撃者という漠然とした言葉でなく、こんなふうに一覧となるとちょっと怖くなるね。くわばら、くわばら…

第6講のまとめ

脅威は常に存在し続けるものですが、脆弱性は発見して修正することで、可能な限りゼロにすることができます。

脅威と脆弱性の組み合わせがリスクを生み出し、そのリスクを管理することが情報セキュリティの鍵となります。

リスクは可能な限り０であるべきだけれども、脅威は常に存在する。そういうものだと割り切って考えることで、情報セキュリティ担当者の燃え尽き症候群（バーンアウト）を防ぐこともできます

榊 裕次郎

Excel講師

1981年10月生まれのてんびん座、東京都出身。趣味は、旅行と料理とワイン。2024年は、佐賀県に行って「呼子のイカ」を思いっきり食べたいです。

引き続き、青森・秋田・岩手でのお仕事ご依頼、お待ちしております！