情報セキュリティ講座(4) 情報セキュリティリスク
情報セキュリティは、リスクを評価することが重要です。そして、情報セキュリティリスクは、要素分解することができます。次の式で表されます。
情報セキュリティリスク=情報資産の価値×脅威×脆弱性
- 情報資産の価値
その情報にどれ位の資産価値があるか、ということです。企業にはさまざまな情報が氾濫してますので、どこにどのような情報があるかを把握しておく必要があります。 - 脅威
情報資産を脅かす、外部要因です。システムや情報に損害を与える、インシデントの潜在要因ともなります。詐欺メール、ウイルス、フィッシングサイト、盗聴など、様々なものがあります。外からやってくる泥棒と考えればよいです。 - 脆弱性
情報資産を脅かす、内部要因です。インシデントを顕在化させるものです。アップデートされていないサーバやPC、ファイヤーウォールの穴など、いろいろあります。泥棒を防ぐ、戸締りと考えればよいです。
情報セキュリティは、これらの3つの要素を検証し、情報資産に損害をもたらすリスクを評価することになります。