19-2-10. 第10章. 脅威、脆弱性、リスクの定義と関係性
10-1. 用語の定義および関係性と識別方法
章の目的
第10章では、ISO/IEC 27000に記述されている「リスク」、「脅威」、「脆弱性」、「管理策」といった用語の定義、それらの用語の関係性、脅威や脆弱性の識別方法を理解することを目的とします。
主な達成目標
- ISO/IEC 27000に定義されている「リスク」、「脅威」、「脆弱性」、「管理策」の定義を理解すること
- 「リスク」、「脅威」、「脆弱性」などの関係性を理解すること
- 脆弱性、脅威の識別方法を理解すること
主なキーワード
脅威、脆弱性、リスク
要旨
10章の全体概要
リスクマネジメントを理解するために必要となる「リスク」、「脆弱性」、「脅威」といった用語の定義と関係性、さらに「脅威」、「脆弱性」の識別方法について説明しています。
10-1. 用語の定義および関係性と識別方法
用語の定義と関係性
企業や組織にはセキュリティ上のリスクが存在しています。これらのリスクを効率的に管理するには、リスクマネジメントを行う必要があります。リスクマネジメントを理解するために必要となる「脅威」、「脆弱性」、「リスク」といった用語の定義や関係性を説明しています。
(例)業務用ノートパソコンに関する脅威や脆弱性、管理策の関係
図80. 「脅威」「脆弱性」「リスク」「管理策」の関係性
脅威の識別
脅威は「脆弱性」につけいり顕在化することで、組織に損失や損害を与える事故を生じさせます。脅威を、人為的脅威(意図的脅威、偶発的脅威)と環境的脅威に区別して把握することで、必要なセキュリティ対策を整理しやすくなります。
脆弱性の識別
脆弱性があるだけでインシデントが発生するわけではありません。しかし、脆弱性は脅威を顕在化させ、インシデントの発生確率を高める可能性があります。脆弱性を減らすためには、適切な管理策を実施する必要があります。脆弱性は管理策の欠如を同時に意味しているため、脆弱性を識別することは必要な管理策を識別するのに役立ちます。
訴求ポイント
章を通した気づき・学び
リスクマネジメントで使用される「脅威」、「脆弱性」、「リスク」といった用語の定義や関係性を理解することが大切です。また「脅威」、「脆弱性」の識別方法について理解することが大切です。
認識していただきたい実施概要
- 「脅威」「脆弱性」「資産の価値」のいずれかが増加することで、リスクが増大すること。
- リスクを減少させるためには「脅威」、「脆弱性」、「資産の価値」を識別し、リスクに対する保護要求事項を明らかにし、保護要求事項に合致するセーフガード(管理策)を適切に実施することが必要であること。
実践のために参考となる文献(参考文献)