前回は、リスクアセスメントを効果的、効率的に実施するために、情報資産のグループ化について説明しました。
今回は、グループ化した情報資産の脅威・脆弱性の特定です。規格要求事項 4.2.1 d) 2 及び、c) 2 にあたる部分です。
ちなみに、規格要求事項には、脅威、脆弱性の定義はありません。そこで、JIS Q l3335-1:2006(情報通信技術セキュリティマネジメント−第1部:情報通信技術セキュリティマネジメントの概念及びモデル)より引用して紹介しておきます。
・脅威:システムまたは組織に危害を与える、好ましくない偶発事故の潜在的な原因
・脆弱性:脅威によって影響を受け得る資産または資産グループの弱さ
日常生活の中で例をとれば、「建物」という全体でいえば「泥棒にあう」という脅威にあたります。その脅威に受ける要因として、「泥棒の対象となりやすい立地環境にある」「ピッキングしやすい鍵である」「風呂場の窓が締められていない」などといったいろいろな脆弱性が見い出されます。その上で、「ピッキングしやすい鍵」という脆弱性に対して、「ピッキングしにくい鍵に交換する」「もう一つ鍵を付ける」「ピッキングセンサー・アラームを取り付ける」などの対策を考え、費用対効果などを考慮して対策を講じることになります。
ただ、脅威があって脆弱性が見つかれば、全てについて対策を講じなければならないかと言えばそうではありません。
次回の説明内容となりますが、脅威が発生しやすいか、脆弱性は脅威を受けやすいか、また、保護する資産は対策を講じるに値するか?などを検討した結果で判断することになります。
そうした判断をし易くするために、脅威や脆弱性の程度をランク付けをし、このレベル以上であれば必ずセキュリティ対策をしよう。このレベル以下であれば対策をしなくても良しとしよう。などと判断する物差しとします。
ここでも、CAIの評価の時と同様に、3ランクまたは4ランク程度に分類するのが良いでしょう。
例えば、次のような感じです。
・脅威のレベル4:頻繁に発生する。月に1回程度以上発生する。
・脅威のレベル3:時々発生する。年に1回程度以上発生する。
・脅威のレベル2:稀に発生する。10年に1回程度以上発生する。
・脅威のレベル1:発生の可能性は低い。
なお、脆弱性を考慮する場合に、現在実施している対策を明らかにしておきます。(規格要求事項4.2.1 e) 2))
脆弱性に対して、既に、対策が講じられていれば、その脆弱性のレベルは低くなります。
ちなみに、脅威については、「偶発的な脅威(勘違い、ミス、置き忘れなどの過失)」「意図的な脅威(意識したルール違反、泥棒などの犯罪)」「環境的な脅威(地震等の天災など)」などに分類できると思います。脅威の種類に応じた判断基準を設けると良いでしょう。
犯罪については、各県警・府警のWebサイト上で、防犯マップ・犯罪マップなどとして、どの地域でどのような犯罪が発生しているかについて知ることが出来ますし、天災などについては、行政単位でハザードマップを作成している場合もありますので参考にすると良いでしょう。
・国土交通省ハザードマップポータルサイト
http://www1.gsi.go.jp/geowww/disapotal/index.html
・京都府の地域犯罪マップ
http://www.pref.kyoto.jp/fukei/hanjou/index.html
