脅威、脆弱性、リスク、インシデント

キーワード

脅威、脆弱性、リスク、インシデント

脅威（Threat）: 情報システムのセキュリティを脅かす原因となるものです。脅威には、情報システム安全対策基準では次のように列挙されていますが、特に現在では、インターネットによる脅威が重視されています。
　　自然災害（地震、火事など）
　　機器の故障・誤動作（停電、部品の劣化など）
　　人間の過失（プログラムのエラーやコンピュータ操作のミスなど）
　　人間の故意（ウィルス、不正アクセス、物理的な破壊や盗みなど）
インシデント（Incident）: 事件・事故などトラブルが生じた状態のことです。実際に被害は生じなくても、それに関連した出来事（ハッカーが侵入を試みたとか、警報が鳴ったなど）も含むことがあります。
脆弱性（Vulnerability）: 脅威から情報システムを守るために、多様な対策をとるでしょうが、完全な対策をとることはできません。その不完全さのことを脆弱性といいます。後述のように、機密性・完全性・可用性が欠けている状態だともいえます。
　広義には情報システムに存在する弱点のことをいいます。そのなかには、そもそもセキュリティが存在しない仕様である露出と、期待されるセキュリティを満たさない欠陥である狭義の脆弱性があります。ここでは、狭義の脆弱性を対象にします。
リスク（Risk）: 学問的には「何らかの事態が起こることに関する不確実性」のことであり、よい影響も含む概念ですが、一般には悪い影響、すなわち脅威と同じような意味で用いられることが多い。また、脅威が想定される環境において、システムに脆弱性がある場合に、リスクが発生している状況にあるといいます。

本シリーズの目次へ