情報化社会におけるリスクと脅威を知り未然に防ごう

経営者のリスク

情報化社会と呼ばれる昨今、そのセキュリティは年々強化されていますが、やはりリスクはつきものです。情報化社会における最大のリスクは、情報システムの崩壊やそこで扱われるデータそのものになります。
私達は常にどんなリスクが発生するのか、発生した後の対応、損害、影響などを明確にし、分析していく必要があります。

【リスクの脅威】
脅威とは、簡単に言うと組織に損害を与える可能性であるリスク要因の事を言います。よくリスクと脅威は混同されがちですが、リスクは物事が発生する可能性で、脅威は要因である事を覚えておきましょう。
情報セキュリティにおける脅威は下記のように分類されます。

(人為的脅威)
人為的脅威は、人によって起こされるもので、意図的脅威と偶発的脅威に分類されます。
意図的脅威は攻撃(不正侵入、ウイルス、改ざん、盗聴、なりすましなど)があります。
偶発的脅威は、人為的ミスがあり(操作ミス、紛失)、障害(システム障害、ネットワーク障害)などがあります。

(環境的脅威)
環境的脅威は、災害(地震、洪水、津波、台風、落雷、火事)などがあります。

【脅威に対しての心構え】
このように、世の中には様々な脅威がありこれらがゼロになる事はありません。
まずは脅威に対して、それらを明確にし、組織に起こり得るものを全て洗い出す事から始めましょう。
特に今まで組織内で起こった脅威については洗い出しも簡単ですが、今まで脅威として起こっていない滞在的脅威に関しては洗い出しが困難になります。更に脅威は常に変化しており特定する事は難しくなるため、情報セキュリティのリスク分析や対策の方法を検討し皆が使えるようになっておくことが望ましいでしょう。

【リスクを表すもの】
リスクは、下記のような式で表されます。
リスク=情報資産×脅威×脆弱性で表すことができます。
情報資産は、セキュリティレベルの格付けの数値を言い主に1~3段階で分類されています。脅威や、脆弱性についても同様に1~3の数値で分類され数値化されています。
このような計算に基づきリスクが数値化される事をリスクアセスメントと言います。

【まとめ】
リスクと脅威は混同されやすいが、実はそれぞれ意味が違います。また、リスクを数値化する事でより一層明確にする事ができます。組織は常にこれらのリスクを考慮し、低減する為に情報セキュリティを構築する事が大切でしょう。