皆さん、こんにちは。 前回まではセキュリティ対策の概念を見てきました。 本日から十数回にわたり、具体的な攻撃の仕組みをご紹介いたします。 情報資産を守るための最初のステップは、攻撃の原理を知ることです。 脅威とリスク 情報セキュリティにおける脅威とは、会社や組織の情報やシステムに、 損害や悪影響をもたらす潜在的な危険のことです。 脅威には「人為的脅威」と「環境的脅威」がありますが、 人為的脅威の中でも特に意図的な脅威のことをここでは念頭に置いています。 意図的脅威をもたらす人間を脅威エージェントといいます。 脅威エージェントは、コンピューターやシステムの脆弱性を悪用して攻撃を仕掛けてきます。 そして、情報漏洩などの情報資産の損害をもたらすリスクを引き起こします。 増加する脅威 総務省の「情

皆さん、こんにちは。 今回は会社や組織の情報資産を守るためのリスク分析という考え方をご紹介いたします。 情報リスクマネジメントとリスク分析 悪意ある攻撃者から会社や組織の情報資産を守るためには、情報リスクマネジメントを行う必要があります。 情報リスクマネジメントとは、企業や組織が情報資産を守り、適切に管理・運用するために、 一定の方針や規定のもとに「機密性・整合性・可用性」をバランスよく維持管理することです。 情報リスクマネジメントの最初の段階として、まずリスク分析を行います。 リスク分析とは、脆弱性や脅威を特定し、セキュリティの保護手段を講じるため 、考えられる損害を評価することです。以下、具体的にリスク分析について考えてみましょう。 リスク分析のステップ リスク分析は通常、3つのステッ