東京都産業労働局 令和5年度中⼩企業サイバー
セキュリティ対策継続支援事業

文字サイズ

19-2-10. 第10章. 脅威、脆弱性、リスクの定義と関係性

10-1. 用語の定義および関係性と識別方法

章の目的

第10章では、ISO/IEC 27000に記述されている「リスク」、「脅威」、「脆弱性」、「管理策」といった用語の定義、それらの用語の関係性、脅威や脆弱性の識別方法を理解することを目的とします。

主な達成目標

  • ISO/IEC 27000に定義されている「リスク」、「脅威」、「脆弱性」、「管理策」の定義を理解すること
  • 「リスク」、「脅威」、「脆弱性」などの関係性を理解すること
  • 脆弱性、脅威の識別方法を理解すること

主なキーワード

脅威、脆弱性、リスク

要旨

10章の全体概要

リスクマネジメントを理解するために必要となる「リスク」、「脆弱性」、「脅威」といった用語の定義と関係性、さらに「脅威」、「脆弱性」の識別方法について説明しています。

10-1. 用語の定義および関係性と識別方法

用語の定義と関係性
企業や組織にはセキュリティ上のリスクが存在しています。これらのリスクを効率的に管理するには、リスクマネジメントを行う必要があります。リスクマネジメントを理解するために必要となる「脅威」、「脆弱性」、「リスク」といった用語の定義や関係性を説明しています。
(例)業務用ノートパソコンに関する脅威や脆弱性、管理策の関係

図80. 「脅威」「脆弱性」「リスク」「管理策」の関係性

脅威の識別
脅威は「脆弱性」につけいり顕在化することで、組織に損失や損害を与える事故を生じさせます。脅威を、人為的脅威(意図的脅威、偶発的脅威)と環境的脅威に区別して把握することで、必要なセキュリティ対策を整理しやすくなります。

脆弱性の識別
脆弱性があるだけでインシデントが発生するわけではありません。しかし、脆弱性は脅威を顕在化させ、インシデントの発生確率を高める可能性があります。脆弱性を減らすためには、適切な管理策を実施する必要があります。脆弱性は管理策の欠如を同時に意味しているため、脆弱性を識別することは必要な管理策を識別するのに役立ちます。

訴求ポイント

章を通した気づき・学び

リスクマネジメントで使用される「脅威」、「脆弱性」、「リスク」といった用語の定義や関係性を理解することが大切です。また「脅威」、「脆弱性」の識別方法について理解することが大切です。

認識していただきたい実施概要

  • 「脅威」「脆弱性」「資産の価値」のいずれかが増加することで、リスクが増大すること。
  • リスクを減少させるためには「脅威」、「脆弱性」、「資産の価値」を識別し、リスクに対する保護要求事項を明らかにし、保護要求事項に合致するセーフガード(管理策)を適切に実施することが必要であること。