情報セキュリティ脅威の種類

「脅威」とその安全管理策

「脅威」についてもさまざまな種類がありますので、それを理解することも大切です。

前述の脅威の例も含め、サイバーセキュリティ対策における脅威の種類は、以下に記載の3つに分類されます。

1.「技術的脅威」

ITシステムやWEBサイト等において、技術的に脆弱な部分を悪用した攻撃などによって引き起こされるものを指します。

近年、IT技術の進化により、さまざまな新技術が誕生してきました。今後もその流れは続いていくと思われますが、新たな技術には、必ず新たな脆弱性やリスクがつきものとなります。

IT技術を活用することで、さまざまな恩恵を受けることが出来ますが、リスクを把握した上で、正しく利用するということが重要となります。

2.「人的脅威」

人間のミスに起因して引き起こされるものを指します。

うっかりや故意など、要因はさまざまですが、人間が行う作業には、必ず一定のミスや不正が含まれるという前提で、考えておく必要があります。

ミスを軽減する仕組みや、ミスがあっても被害を最小にする仕組み、不正を未然に防ぐ対策などを考えていく必要があります。

3.「物理的脅威」

物理的に存在するコンピュータやサーバー、オフィスやデータセンター等の建物の損壊などに起因して引き起こされるものです。

機器の故障や自然災害等によるものが多いですが、企業活動の継続のためには、BCP対策やデータバックアップなどを平時から準備しておくことが重要です。

このように、「脅威」の種類によって検討すべき安全管理策も変わってきます。

また、これらの「脅威」は、意図的なものなのか?偶発的なものなのか?という観点でさらに分類されます。

画像を拡大 

 

これらを正しく理解した上で、組織が保有する情報資産やITシステム等に、どのような脅威が想定されるのかを特定しなければ、正しいリスクの評価もできませんし、その後の対策立案も有効なものとならない可能性があるということを覚えておいてください。

情報セキュリティ10大脅威 2024

最後に、独立行政法人情報処理推進機構IPAが毎年発表している「情報セキュリティ十大脅威」の2024年版と、それに対する対策例をお伝えいたします。

画像を拡大 

近年の傾向として、人的な弱点を悪用したものが増加している傾向が見られます。

次回以降は、これらの具体的な脅威に対してのリスク、それらに関する安全管理策の例をケーススタディに基づいて解説します。
 

執筆者

西村 健太郎

株式会社AnswerCrewLaboratory代表。通信キャリア、商社系IT企業にてデータセンター事業、クラウドサービス事業の立ち上げに従事し、企画・マーケティング・営業・事業推進などさまざまな業務を経験。現在は独立コンサルタントとして活動し、株式会社M&Kのプロジェクトに参画。企業のサイバーセキュリティ対策に関するコンサルティング業務やサービス導入支援、講演活動などを展開。