脅威と脆弱性

情報セキュリティ対策とは、「守るべき情報資産の価値へ悪影響を及ぼす脅威」と「脆弱性」を明確にし、対処すること

保護すべき資産を洗い出し、「資産に関する脅威」と「脅威に関する脆弱性」を識別・評価することによって、セキュリティ対策の整理ができる。

資産(asset)

• 「組織にとって価値のあるもの」
  管理の対象は、組織が保有する情報全般に渡ります。

脅威(threat)

• 「資産又は組織になんらかの損失・損害を発生させるインシデントの存在的な原因となるもの」

インシデントとは、事業運営や、組織の情報セキュリティを脅かす可能性の高い単独もしくは、一連の「好ましくない事件・事故」、又は「予期せぬ事件・事故」のことです。

脆弱性(vulnerability)

• 「資産が保有する脅威に対する弱さ」

脆弱性と脅威が組み合わさり、初めてインシデントにつながります。