脅威・脆弱性・リスク 言葉の定義
脅威と脆弱性とリスク
ITセキュリティの世界では、脅威と脆弱性とリスクという言葉がよく使われます。
たまにこの3つの言葉の混同、誤用があるように思われますので説明します。
大辞林による3つの言葉の意味
| 脅威 | 脅かすこと。また、脅かされ、脅されることで感じるおそれ。 「…を感ずる」「…を与える」「平和と安全の維持を…するもの」 |
|---|---|
| 脆弱性 | 傷つけられやすいこと。 |
| リスク | 予測できない危険「…が大きい」 損害を受ける可能性 |
株式会社ENNAが定義する3つの言葉の意味
| 脅威 | 脅威は何らかの損害の可能性の発生する事象です。 脅かすという言葉からも心理的な側面が含まれます。 自分の家で例えるなら、地震や泥棒等が脅威といえるでしょう。 |
|---|---|
| 脆弱性 | 脆弱性はコンピュータや仕組みに存在する欠陥です。 家で例えるなら、壊れた窓や簡単な鍵しかついていないドア、転倒処理をしていない家具、家屋の構造上の問題などです。 脆弱性は人に起因する場合もあります。 例えば、鍵を締め忘れる、ストーブの消し忘れなどです。 |
| リスク | リスクは損害(影響)を受ける可能性です。 リスクは数式で考えることができます。 掛け算や足し算で表現できます。 発生可能性x影響範囲や、発生可能性+影響範囲です。 (他にも計算方法はあります)。 |
実際のコンピュータシステムにおいては、脅威と脆弱性を洗い出し、その影響範囲、発生可能性等を考慮し、リスクを明確にすることが重要となります。そして、そのリスクに対して、取り除く排除、可能性や影響範囲を減らす低減、場合によっては受容する等の対策を実施していきます。
リスクの詳細
「リスク」という単語が使われるパターン。
- 望ましくない事象そのもの
- 望ましくない事象が発生する確率
- 望ましくない事象の影響(被害)の大きさ
- 望ましくない事象を引き起こす脅威(threat)
- 望ましくない事象の原因になるかもしれない脆弱性(vulnerability)
上記のパターンが整理されずに使われるために、議論がかみ合わない場合も多いです。
※人によってリスクが意味しているものが異なるため、異なった意味で使っているもの同士では?
※4、5については、望ましくない事象が発生するための、構成要素ではあるが、リスクという言葉を使わないほうがよい。
株式会社ENNAのトレーニングコースでは、上記のように定義し、使用しています。