脅威
脅威は情報システムに悪影響を与え、損失を発生させる直接の原因のことです。
脅威とは
情報セキュリティにおける脅威は、組織や企業が保有している情報資産に損失を与えうる事象です。
外部からの標的型攻撃や、内部不正による情報漏洩などが脅威に該当します。
驚異の種類
脅威には意図的なもの・偶発的なもの・環境的なものがあげられます。
意図的脅威
意図的脅威は、特定の目的や意図をもって行われる脅威です。
意図的脅威の例
- 外部からの各種攻撃
- 内部の情報漏洩
偶発的脅威
偶発的脅威は、意図せず発生する脅威です。具体的には以下の通りです。
偶発的脅威の例
- 人的ミスによるデータの削除
- システムの誤作動によるトラブル
- 社内PCの持ち出しによる紛失
偶発的な脅威は日常でも発生しやすく、重大な事故につながりやすいです。
注意喚起や情報共有で発生を抑えることが重要です。
環境的脅威
環境的脅威は、組織外部から生じるものです。
環境的脅威の例
- 火災・地震・洪水
- 感染症の流行
- 円高・円安
地震・洪水・火災などはIT機器やデータサーバの破壊につながるリスクがあります。
円安・円高や感染症による市場変動で事業継続が困難になるケースも考えられます。
IPAの10大脅威
IPAが公開する10大脅威は以下の通りです。
| 順位 | 個人 | 組織 |
| 1 | インターネット上のサービスからの個人情報の窃取 | ランサムウェアによる被害 |
| 2 | インターネット上のサービスへの不正ログイン | サプライチェーンの弱点を悪用した攻撃 |
| 3 | クレジットカード情報の不正利用 | 内部不正による情報漏えい等の被害 |
| 4 | スマホ決済の不正利用 | 標的型攻撃による機密情報の窃取 |
| 5 | 偽警告によるインターネット詐欺 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) |
| 6 | ネット上の誹謗・中傷・デマ | 不注意による情報漏えい等の被害 |
| 7 | フィッシングによる個人情報等の詐取 | 脆弱性対策情報の公開に伴う悪用増加 |
| 8 | 不正アプリによるスマートフォン利用者への被害 | ビジネスメール詐欺による金銭被害 |
| 9 | メールやSMS等を使った脅迫・詐欺の手口による金銭要求 | テレワーク等のニューノーマルな働き方を狙った攻撃 |
| 10 | ワンクリック請求等の不当請求による金銭被害 | 犯罪のビジネス化(アンダーグラウンドサービス) |
スポンサーリンク
脅威の関連語
脅威の関連語を確認しておきましょう。
リスク
リスクは、情報システムとそのデータについて損害やマイナスの影響を生む可能性を持ったもののことです。
リスクを大別すると脅威と脆弱性に分かれます。
脆弱性
脆弱性は、組織・情報システム・物理環境などに内在する弱点や欠点のことです。
脆弱性のうち、システムやソフトウェアに内在するものはセキュリティホールと呼ばれます。
脅威まとめ
脅威は内部・第三者・自然災害などいたるところに存在します。
脆弱性があり、そこに脅威が重なることでリスクが顕在化する点もあわせて押さえておきましょう。
