セキュリティリスクを見える化する「コンポーネント」の考え方

コンポーネントとは？

コンポーネント （Component）とは、英語で「部品」「成分」「構成要素」などの意味です。 ITの分野でコンポーネントというときは、通常はソフトウェアやシステム、機器を構成する部品や要素を意味します。

しかし今回、情報セキュリティの分野において論じる際の「コンポーネント」とは、 リスクがどのように発生し、それが企業にどのように影響を与えるのかを示す「構成要素」という意味合いだとご理解ください。

サイバー攻撃によるリスク発生

悪意あるサイバー攻撃によって不正なアクセスや損害を与えようとする者を「脅威エージェント」と呼びます。 脅威エージェントは、組織や企業の情報やシステムに損害を与える危険を引き起こします。これが「脅威」です。

脅威は、具体的にはコンピュータのハードウェアやソフトウェアに潜んでいる弱点を悪用します。 この弱点のことを脆弱性といいます。

脆弱性があることにより、不正アクセスやウイルスなどの攻撃が行なわれ、 企業に損害や影響を発生させる可能性が生じます。この可能性のことを「リスク」といいます。

リスク発生後の企業への影響

では、リスクが生じると、企業や組織、すなわち情報資産の所有者にとってはどのような影響があるでしょうか。 まず「資産」に損害の可能性が生じます。

この際、情報漏洩やウイルス感染などの損害発生の危機にさらされることを「暴露」といいます。

この状況において所有者である企業や組織がとる手段を「対策」といいます。

対策を講じることにより、脅威エージェントの攻撃から情報資産を防御することができます。

まとめると基本的な流れは以下のようになります。 このようなコンポーネントを念頭に置くと、情報セキュリティについてより理解が深まります。

1. 脅威エージェントが脅威を起こす
2. 脅威は脆弱性を悪用する
3. リスクが発生
4. 資産に損害の可能性が生じる
5. 暴露が引き起こされる
6. 対策を講じる
7. 対策は脅威エージェントに影響を与える

対策をとることが重要

現代社会においては、互いを信頼し合うことで成り立っていた初期のWANのように、 攻撃に対し無防備でいることはできません。

インターネットは世界中に広がり、どんな悪者が利用するかわからないからです。 そして、パソコンのハードウェアやソフトウェアに潜む脆弱性は、その全てを塞ぐことは困難です。

パソコンを使用するユーザーにできることとして、以下をこまめに行うことが大切です。

• ウイルス対策ソフトを導入すること
• メーカーの更新情報をチェックして、脆弱性が発見され、パッチ（修正プログラム）が提供されたら速やかに適用すること
• ハードウェアやソフトウェアのアップデートをすること