ブログタイトル

脅威と脆弱性

ISMS(ISO27001)でよく出てくる単語。読んで字のごとしなのですが、普段使ってないと混同してしまうのでメモ。


脅威とは企業の情報資産に対する「危険性」「リスク」。外部からの攻撃等がこれに該当する。


脆弱性は情報資産が内包している「弱点」と言い換えることもできるだろう。


低減/保有/回避/移転

これも混同しがちなもの。上記4つは脅威と脆弱性への対応パターンです。
リスク対応が必要と判定(アセスメント)された場合は、この4つのいづれかで対処します。


■低減
リスク対策をちゃんとして減らします。
システムによる対策とか教育が該当します。


保有
リスクをそのまま放置。仕方ないので受け入れます。受容です。


■回避
リスクのあるものを排除したり置き換えたりします。
重要だけど古いシステムはもう使わないと決断したり。リスクの根源を避けます。


■移転
排除できないリスクへの対策です。
リスクある業務を他社に委託したり保険をかけたりすることです。