ISMS(ISO27001)でよく出てくる単語。読んで字のごとしなのですが、普段使ってないと混同してしまうのでメモ。
脅威とは企業の情報資産に対する「危険性」「リスク」。外部からの攻撃等がこれに該当する。
脆弱性は情報資産が内包している「弱点」と言い換えることもできるだろう。
低減/保有/回避/移転
これも混同しがちなもの。上記4つは脅威と脆弱性への対応パターンです。リスク対応が必要と判定(アセスメント)された場合は、この4つのいづれかで対処します。
■低減
リスク対策をちゃんとして減らします。
システムによる対策とか教育が該当します。
■保有
リスクをそのまま放置。仕方ないので受け入れます。受容です。
■回避
リスクのあるものを排除したり置き換えたりします。
重要だけど古いシステムはもう使わないと決断したり。リスクの根源を避けます。
■移転
排除できないリスクへの対策です。
リスクある業務を他社に委託したり保険をかけたりすることです。