初心者– tag –

リスクアセスメントとは リスクアセスメントとは、組織が保有する情報資産に対して、どのような脅威や脆弱性が存在し、どの程度の影響を与えるかを特定・評価するプロセスです。   ISO/IEC 27001（ISMS）やNIST CSFでも中核的な要素とされ、情報セキ...

情報セキュリティリスクの定義 情報セキュリティリスクとは、情報資産が脅威や脆弱性によって損なわれる可能性を指します。リスクが顕在化すれば、情報漏洩・業務停止・法的責任・ブランド価値の低下といった深刻な被害につながります。 リスクは「脆弱性...

セキュリティホールとは セキュリティホール（Security Hole）とは、ソフトウェアやシステム、ネットワークに存在する設計上・実装上の欠陥や設定ミスによって生じる「セキュリティ上の穴」を指します。   脆弱性（Vulnerability）とほぼ同義で使われるこ...

バグとは 情報セキュリティマネジメントにおける「バグ」とは、システムや運用プロセスに潜む欠陥や不備を指します。これらは必ずしもプログラム上の不具合だけでなく、組織的・人的・物理的な管理の不備も含まれます。バグは単体では被害を生まない場合も...

脆弱性とは 情報セキュリティにおける脆弱性（vulnerability）とは、システムやネットワーク、組織の仕組みに存在する「弱点」を指します。   それ自体が直接的な被害を生むわけではありませんが、脅威に悪用されることでリスクが顕在化し、情報漏洩...

脅威とは 情報セキュリティにおける脅威（threat）とは、システムやデータに損害を与える可能性のある要因や事象を指します。 リスク：脅威が実際に損害を与える可能性 脆弱性：脅威が成立しやすくなる弱点 つまり、脅威 × 脆弱性 ＝ リスク という関係で...

インシデントとは インシデント（incident）とは、情報セキュリティの「機密性」「完全性」「可用性」を侵害、または侵害する恐れのある出来事を指します。   JIS Q 27000では「望まない、または予期しない情報セキュリティ事象のうち、事業運営を危...

CISOとは何か？ CISO（Chief Information Security Officer）は、企業の情報資産を守るためにセキュリティ戦略の策定・実行・教育・法令遵守・インシデント対応を統括する責任者です。1995年、米シティコープが初めて導入した役職で、インターネットの普及...

はじめに サイバー攻撃は年々増加・巧妙化し、個人情報や知的財産の流出、ランサムウェアによる事業停止など、企業経営に直結するリスクとなっています。こうした状況を受け、経済産業省とIPA（情報処理推進機構）は「サイバーセキュリティ経営ガイドライ...

信頼性とは？ 情報セキュリティの世界では「CIA triad（機密性・完全性・可用性）」が有名ですが、実はそれを支える要素のひとつに 信頼性（Reliability） があります。   信頼性とは、システムや仕組みが期待通りに動き続けることを意味します。 例...