危険について
事故が起きてしまってから対応策を考えるのではなく、事前に起こりうる危険(脅威)を想定し、なるべく漏れのないように見つけ出しましょう。もちろん想定外の出来事は起こってしまうものですが、事前に想定し、脅威に備えることが大切です。こういった取り組みはISO27001:2013へ規格が改訂されても変わることはありません。
通常業務の中に危険や対応策が潜んでいることがありますので、業務を見直す意味でも取り組みはしっかりしましょう。
どんな危険が存在するか
情報資産に影響を与える危険はどのようなものがあるのでしょうか。
情報資産にとっての脅威は大きく2つに分けることができます。
それは「人為的な脅威」と「それ以外の脅威」です。
<人為的な脅威>
情報の入力や更新の際の誤入力、メールやFAXなどの誤送信、悪意ある者からの盗聴などがあり、
「意図しない人為的な脅威」と「故意による人為的な脅威」に分類することができます。
<それ以外の脅威>
停電、火災、水害、地震、落雷などの自然災害や、ハードウェア・ソフトウェアの誤作動などがあります。
脅威を分類する
人為的な脅威は情報資産へのアクセスを制限することで、「アクセスが許可されている者」と「されていない者」による脅威に分類することができます。また、人為的な脅威は「当事者」と「第三者」、「意図しない事故」と「故意による事故」にも分類することができます。
オペレーションミス(入力ミス、誤送信、誤廃棄など)は「情報資産へのアクセスが許可された当事者による意図しない事故」となり、不正アクセス、盗難、盗聴、情報の改ざん、システム破壊、紛失などは「情報資産へのアクセスが許可されていない第三者の故意による事故」と分類することができます。