弱点とその影響
情報セキュリティの事件・事故は、情報資産やその管理方法の弱点をついて発生します。
その弱点などを「脆弱性」と呼び、脆弱性は情報資産を保護するための管理上の弱点となってしまいます。
また、脆弱性を利用され、事件・事故が実際に発生した際に情報資産に及ぼすものを「影響」といいます。
脆弱性と影響の見つけ方
業務の整理、情報資産の洗い出し、情報資産の持つ脅威の特定が終わると、次に考えることは情報資産が抱える脅威についての対策レベルを明確にしていきます。
情報資産の管理方法や業務のプロセスなど、情報資産を取り巻く環境には何かしらの脆弱性が存在しています。その脆弱性が原因となり情報資産に脅威(事件・事故)が発生します。
よって脆弱性と脅威は繋がっているといえます。例えば個人情報をメールで送信する業務があるとします。考えられる脅威のひとつにメール誤送信による情報漏えいがあります。
また、情報漏えいの影響として、会社の社会的信用の失墜、苦情、賠償請求などが考えられます。
このような場合に事件・事故を防ぐためのルールとして「送信時の暗号化や添付ファイルへのパスワード設定」などを行っていれば、脆弱性は下がりますし、何もルールがなければ脆弱性は上がってしまいます。
脆弱性の特定は現状の対策レベルの明確化に繋がり、影響の特定は会社に降りかかる被害の明確化に繋がります。
業務の流れや過去の事例・経験をもとに情報資産の弱点を探し、対策を講じましょう。