基礎概念
リスク
Risk
定義
リスクとは「脅威が脆弱性を突いた場合に生じる潜在的な損害の大きさ」で、一般に「リスク = 脅威の発生可能性 × 影響度」で表現されます。同じ脆弱性でも、それが組織の重要資産に関わるものか・攻撃者が実際に狙っているかによって現実のリスクレベルは大きく変わります。リスク管理では「特定→評価→対応→監視」のサイクルを繰り返し、対応策には①低減(技術的対策)②移転(サイバー保険・アウトソース)③回避(該当システムを使わない)④受容(対策コストより損失が小さい場合)の4種類があります。ISO 27001・NIST CSF・SOC 2などのフレームワークに共通するのは「すべてを守ろうとするのではなく、リスクの高いものから優先的に対策する」という思想です。経営判断としてのリスク受容はドキュメント化と定期的な見直しを行い、残留リスクを常に見える化しておくことが重要です。
関連用語
同じカテゴリの用語(基礎概念)
CIA三原則
CIA Triad
情報セキュリティの3つの基本要素。機密性(Confidentiality)・完全性(Integrity)・可用性(Ava…
暗号化
Encryption
データを第三者が読めない形式(暗号文)に変換する処理。対称暗号(AES)と非対称暗号(RSA)がある。転送中データ(TL…
可用性
Availability
正当なユーザーが必要なときに情報やシステムにアクセスできる性質。冗長化・バックアップ・DDoS対策などで実現する。CIA…
完全性
Integrity
情報が正確かつ改ざんされていない状態を保つ性質。ハッシュ関数・デジタル署名・チェックサムなどで実現する。CIA三原則のI…
機密性
Confidentiality
許可された者だけが情報にアクセスできる性質。暗号化・アクセス制御・認証などの手段で実現する。CIA三原則のC。…
脅威
Threat
システムや情報に損害を与える可能性のある事象・行為・主体。自然災害・内部不正・外部攻撃者・マルウェアなどが含まれる。リス…