イプシロンブログトップつのわ〜るどシンプルBSC

2006年01月23日

情報管理/リスクの分析と対応(2)

 「脅威」って何でしょう?イメージは漠然としていますね。これをハッキリさせるためには、事務所の情報資産分類毎にどんな怖い出来事が起こり得るのか検討してみるのが一番の近道です。

実際やってみなければ分かりません。

 例えば・・・ですが、幾つかの「脅威」について触れてみます。但しこれはそれぞれの組織の環境で、実際に抱える情報資産に対し当てはまるかどうかは分かりません。
「脅威」の例
・OS等のセキュリティホール
・プログラムのバグ
・ネットワークへの不正アクセス
・サーバーの過負荷(DoS攻撃など)
・各種ログインパスワードの漏洩
・システム設計上の問題
・端末機の操作ミス
・物理的破壊
・通信の傍受/盗聴
・データの改ざん
・通信障害
・コンピュータウィルス等への感染
・地震
・火災
・水害
・盗難
・盗み見

 これらの「脅威」は紙媒体に対し及ぶもの、電子媒体に対し及ぶもの、それら両方に関係するものなど様々です。

 ここで言えるのは、基本的に(あくまでも基本的に)我々はこういった「脅威」群に対して積極的に働きかけることが出来ないということです。脅威は脅威として厳然と存在するもので、「地震を起きなくする!」とか「世界中のハッカー(クラッカー)やウィルス作者全員に改心してもらう!」なんて・・・。

 じゃあ何ができるのか?我々に出来るのは、そういった脅威に隙を突かれないように組織の弱いところを補強していくことだけです。つまり「ぜい弱性」を地道に潰していくのです。

イプシロン
posted by イプシロン at 10:58 | 情報セキュリティ | 更新情報をチェックする