前回は、現状を把握し、リスクを可視化すること、評価することの重要性をお話ししました。

画像を拡大

今回は、具体的にリスクを評価・分析し、実際の対策を立案していく上で必要な知識・工程についてお伝えしていきます。特にリスクアセスメントを実施する上でご理解いただきたいポイントをご説明いたします。

「脅威」と「リスク」

セキュリティ脅威とリスクアセスメント

ここで改めて基本的なこととなりますが、情報セキュリティマネジメント、サイバーセキュリティ対策を検討していく上で重要な考え方となる「脅威」と「リスク」の違いについてお話ししておきます。

結論からお伝えすると、「脅威」と「リスク」は別のものです。

この点を勘違いされており、同様のものと理解されている方がわりと多くいらっしゃいます。

これを混同してしまうとリスクアセスメントにおいても正しい結果を導き出せなくなる可能性がありますので、以下の点に留意してください。

「脅威」とは?

情報セキュリティにおける脅威とは、組織や企業などが保有する情報資産やITシステム等に、損失や不利益を与える要因や事象のことを指します。

例えば、以下のようなものが「脅威」の例となります。

画像を拡大

このように、企業や組織に想定される脅威は、外部からの攻撃や、人的要因によるミスやうっかり、自然災害などさまざまなものが考えられます。

ただし、あくまでも「脅威」は「要因」ですので、ここで重要なのは、「脅威」=「リスク」ではないということです。

画像を拡大

 

では、「リスク」とは何なのか?というお話ですが、

「リスク」とは、「脅威」、つまり何かしらの要因によって引き起こされる「損失や不利益」、これらが発生する可能性を情報セキュリティマネジメントにおいては「リスク」と表現します。

画像を拡大 

 

従い、「脅威」を特定することと、それらによって引き起こされる「リスク」を分けて考えなければ、正しいリスクアセスメントは実施できないということになります。

この点は、これまで私が接している企業の方々にも混同されている方が多くいらっしゃいます。非常に重要なポイントなので特に留意ください。