脅威、脆弱性、リスク、インシデント

キーワード

脅威、脆弱性、リスク、インシデント

脅威（Threat）: 情報システムのセキュリティを脅かす原因となるものです。脅威には、情報システム安全対策基準では次のように列挙されていますが、特に現在では、インターネットによる脅威が重視されています。
　　自然災害（地震、火事など）
　　機器の故障・誤動作（停電、部品の劣化など）
　　人間の過失（プログラムのエラーやコンピュータ操作のミスなど）
　　人間の故意（ウィルス、不正アクセス、物理的な破壊や盗みなど）
インシデント（Incident）: 事件・事故などトラブルが生じた状態のことです。実際に被害は生じなくても、それに関連した出来事（ハッカーが侵入を試みたとか、警報が鳴ったなど）も含むことがあります。
脆弱性（Vulnerability）: 脅威から情報システムを守るために、多様な対策をとるでしょうが、完全な対策をとることはできません。その不完全さのことを脆弱性といいます。後述のように、機密性・完全性・可用性が欠けている状態だともいえます。
　広義には情報システムに存在する弱点のことをいいます。そのなかには、そもそもセキュリティが存在しない仕様である露出と、期待されるセキュリティを満たさない欠陥である狭義の脆弱性があります。ここでは、狭義の脆弱性を対象にします。
リスク（Risk）: リスクとは、「何らかの事態が起こることに関する不確実性」のことですが、
　純粋リスク：損失のみを生じるリスク
　投機的リスク：損失あるいは利益が生じる可能性のあるリスク
に区分できます。
　実務的には、純粋リスクを対象にして、脅威と同じような意味で用いられます。そして、脅威が想定される環境において、システムに脆弱性がある場合に、「リスクが発生している状況にある」といいます。
セキュリティ: 脅威あるいはリスクは常に存在し、通常、それを排除するのは困難です。脅威がインシデントになったとき、情報システムに脆弱性があると、被害・損失が生じます。インシデントが発生しても被害・損失に発展させないようにすること、すなわち、脆弱性を失くす（減らす）ことが重要です。それをセキュリティといいます。

本シリーズの目次へ