情報セキュリティ対策に必須の5大キーワード

脆弱性

脆弱性はセキュリティホールとも呼ばれており、 コンピュータのハードウェアやソフトウェア、またはそれらに接続するための手続きに潜んでいる弱点のことです。

脆弱性があるとサイバー攻撃の対象になり、 具体的には不正なアクセスをされたり、ウイルスに感染します。

脆弱性はプログラムの不具合や、設計上のミスが原因となります。 脆弱性の存在が明らかになると、ソフトウェアのメーカーはその度に更新プログラムを作成して ユーザーに配布しますが、脆弱性を完全に０にすることは困難です。

脅威

脅威とは、組織や企業の情報やシステムに損害を与える全ての潜在的な危険のことで、 具体的には次の２つに分けることができます。

1. 人為的な脅威（不正アクセスやウイルスなどの意図的脅威と、人為的ミスや障害などによる偶発的脅威）
2. 環境的脅威（地震や洪水・火事・落雷などの災害）

このうち人為的な脅威によって資産を悪用したり、 損害を与えようとする者を「脅威エージェント」と呼びます。

リスク

リスクとは、脅威エージェントが脆弱性を利用して不正アクセスやウイルスなどの攻撃を行い、 企業に損害や影響を発生させる可能性のことを指します。

「脅威」と「リスク」との違いは、脅威は損害を与える要因のことであり、 リスクは損害を引き起こす可能性のことです。

暴露

暴露とは、脅威エージェントによる攻撃で、 実際に情報漏洩などの損害発生の危機にさらされることをいいます。

対策

対策とは、リスクを低減するために情報資産の所有者がとる手段のことです。防衛とも呼ばれます。

人為的脅威への対策は、基本的にはウイルス対策ソフトの導入やメーカーから提供されたパッチ（修正プログラム）の適用、 ハードウェアやソフトウェアのアップデートをすることになります。

アップデートが行われれば、それまでに発見された脆弱性は塞ぐことができます。

新たな脆弱性が発見された場合に備え、アップデートは可能な限り、 更新される度に迅速に行われる必要があります。

メーカーが修正プログラムを配布するまでの間に、 その脆弱性を利用して攻撃が行われることがあります。 これを「ゼロデイ攻撃」といいます。

今後、セキュリティ対策を実施する上で、 上記の５つのキーワードと概念を正しく理解しておきましょう。