情報セキュリティマネジメント– category –

リスクアセスメントとは リスクアセスメントとは、組織が保有する情報資産に対して、どのような脅威や脆弱性が存在し、どの程度の影響を与えるかを特定・評価するプロセスです。   ISO/IEC 27001（ISMS）やNIST CSFでも中核的な要素とされ、情報セキ...

情報セキュリティリスクの定義 情報セキュリティリスクとは、情報資産が脅威や脆弱性によって損なわれる可能性を指します。リスクが顕在化すれば、情報漏洩・業務停止・法的責任・ブランド価値の低下といった深刻な被害につながります。 リスクは「脆弱性...

セキュリティホールとは セキュリティホール（Security Hole）とは、ソフトウェアやシステム、ネットワークに存在する設計上・実装上の欠陥や設定ミスによって生じる「セキュリティ上の穴」を指します。   脆弱性（Vulnerability）とほぼ同義で使われるこ...

バグとは 情報セキュリティマネジメントにおける「バグ」とは、システムや運用プロセスに潜む欠陥や不備を指します。これらは必ずしもプログラム上の不具合だけでなく、組織的・人的・物理的な管理の不備も含まれます。バグは単体では被害を生まない場合も...

脆弱性とは 情報セキュリティにおける脆弱性（vulnerability）とは、システムやネットワーク、組織の仕組みに存在する「弱点」を指します。   それ自体が直接的な被害を生むわけではありませんが、脅威に悪用されることでリスクが顕在化し、情報漏洩...

脅威とは 情報セキュリティにおける脅威（threat）とは、システムやデータに損害を与える可能性のある要因や事象を指します。 リスク：脅威が実際に損害を与える可能性 脆弱性：脅威が成立しやすくなる弱点 つまり、脅威 × 脆弱性 ＝ リスク という関係で...

インシデントとは インシデント（incident）とは、情報セキュリティの「機密性」「完全性」「可用性」を侵害、または侵害する恐れのある出来事を指します。   JIS Q 27000では「望まない、または予期しない情報セキュリティ事象のうち、事業運営を危...

情報資産の定義 情報資産とは、企業や組織にとって価値を持つ情報およびそれを保持・利用する仕組みや媒体を指します。   建物や機械といった有形資産と異なり、情報資産は複製・流出が容易であり、適切に管理しなければ重大な経営リスクにつながりま...

CISOとは何か？ CISO（Chief Information Security Officer）は、企業の情報資産を守るためにセキュリティ戦略の策定・実行・教育・法令遵守・インシデント対応を統括する責任者です。1995年、米シティコープが初めて導入した役職で、インターネットの普及...

はじめに サイバー攻撃は年々増加・巧妙化し、個人情報流出、知的財産の窃取、ランサムウェアによる事業停止など、企業経営に直結するリスクとなっています。経済産業省とIPAが策定した「サイバーセキュリティ経営ガイドライン Ver3.0」では、経営者が認識...