感謝のプログラミング 10000時間

たどり着いた結果(さき)は、感謝でした。

情報セキュリティリスクを管理する

スポンサーリンク

リスクって何?

リスクは「情報資産」に対する「脅威」と、情報資産が持つ「脆弱性」によって発生する。
言い換えると、情報資産に対して、脅威と脆弱性が存在することでリスクは顕在化する。

リスク = 情報資産 + 脅威 + 脆弱性

という式で表すことができる。

経営活動を安全に行うには、リスクを評価して、許容できるリスクの水準を知って、ギャップがあれば、それを埋めるための対策を取る必要がある。


持っているリスクがどれだけ危険かという、「危険度」を求めるには3つの観点がある。

・発生確率
発生確率が高いほど、リスクが大きいと考えることができる。
1年に1回発生する障害と、毎週発生する障害では、後者の方がリスクは大きい。

・発生する事象
どんなインシデント(事件・事故)が発生するかという観点。
データ入力ミスしてしまうかもしれないし、不審者が侵入してくるかもしれない。
発生する事象について、リスクの大きさを測る。ただし、その多くは定性的な評価となる。

・発生から導かれる結果
そのリスクが顕在化したときに、どんなヤバイことが起こるか。
インシデントによって起こる二次被害はどんなものか。

なお、情報資産のセキュリティ的な観点からの資産価値は、機密性(Confidentiality)・完全性(Integrity)・可用性(Availability)の観点から、対策の重要度を判定する。

機密性とは、アクセスコントロールとも呼ばれ、ある情報を許可された利用者だけが、許可された範囲内で利用できる状態であることをさす。
サーバルームに誰でも入れたらまずいよね。

完全性とは、情報が完全で正確であることが保証された状態をさす。情報が作られてから現在に至るまで、一部分が失われていたり、改ざんされていないということ。

可用性は、利用者がある情報を使いたいと思ったときにいつでも使える状態であることを「可用性がある」という。