脅威は組織の情報資産に損失や損害をもたらす事象の潜在的な原因です。脅威は脆弱性により誘引され、顕在化することにより組織に影響を与えます。
脅威は、その脅威源が人である人為的脅威と、脅威源が自然や環境である環境的脅威に分けられます。
- 人為的脅威
人為的脅威はその脅威源が人である脅威です。人為的脅威は、人が意識して行う意図的脅威と、意図せずに行われる偶発的脅威に分けられます。
■意図的脅威
人が意図して行う意図的脅威では、その行為者の多くは何らかの意思を持った侵入者・攻撃者(以下では侵入も攻撃のうちの一手法と考え、攻撃者と記述)です。組織の情報システムに侵入して情報を盗んだり、情報システムをコンピュータウイルスなどで攻撃して操作不能に陥れたりします。
これら意図的脅威に対しては、様々な技術により攻撃の検知や防止、記録などを行う必要があります。
■偶発的脅威
人が意図せずに引き起こす偶発的脅威では、うっかりした操作ミスや設定ミスで情報システムに障害を引き起こします。また、装置や設備の故障も偶発的脅威の一つで、情報システムの運用に支障をきたします。
人が引き起こすミスは完全に無くすことは出来ませんが、無知によるミスに対しては教育の実施や、二重三重のチェックを行う手順を導入するなどの対策が必要です。
また、装置の故障などに対しては、装置の冗長化などにより、可用性の向上を図ります。
- 環境的脅威
環境的脅威はその脅威源が自然や環境による脅威で、地震や火災、停電などにより、情報システムが操作不能に陥る脅威です。
環境的脅威は、一般的に発生頻度は高くないですが、発生した場合には重大な被害を及ぼすことが多いため対策が必要です。
様々な脅威を想定し、これらの脅威における被害をいかに低減するかを検討します。さらに、これらの脅威が顕在化してしまった後、いかにして業務を継続するかについて計画することが重要です。
また、これら脅威の分類は、その脅威の原因により、複数の分類に入ることがあります。
例えば火災は、自然発生したのであれば環境的脅威ですが、人の不注意や機器の故障で火災が発生してしまったのであれば偶発的脅威であり、放火したのであれば意図的脅威となります。
【脅威の例】
| 大区分 | 区分 | 例 |
| 人為的脅威 | 意図的脅威 | コンピュータウイルス、不正侵入、改ざん、なりすまし盗難、盗聴 など |
| 偶発的脅威 | 人為的(設定、運用、削除、廃棄、置き忘れ 等)ミス、誤動作装置(PC、ネットワーク、ソフトウェア、電源 等)故障 など | |
| 環境的脅威 | (自然)(環境) | 地震、洪水、地すべり、落雷停電、火災、静電気、汚染 など |
注)火災等は、その原因から人為的脅威の意図的脅威、偶発的脅威にも分類される
