脆弱性とは、脅威の発生を誘引する原因のひとつです。したがって、脆弱性と脅威は、主に表裏一体の関係になります。また、情報資産に内在するものであり、この性質に起因することが多く、また情報資産のおかれている状況によっても違った脆弱性を持つことがあります。
脆弱性は、その対象物より、下記3つの領域に分類できます。
・物理的脆弱性
・システム的脆弱性
・人的・管理的脆弱性
- 物理的脆弱性
物理的脆弱性は、建物などの設備やハードウェアに存在する脆弱性です。ほとんどが目に見える部分なので、わかりやすい部分でもあります。
・建物の耐震、耐火構造における脆弱性
・設備や機器の故障の対策における脆弱性
・盗難や紛失に対する対策における脆弱性
・物理的アクセスの脆弱性(警備不備による不正侵入など)
など 具体例:自由に出入りのできる事務所
- システム的脆弱性
システム的脆弱性は、技術的な脆弱性です。これらの脆弱性は目に見えないところで、かつ、技術的な知識が無いと脆弱性に気が付かない部分でもあります。
・アプリケーションソフトの脆弱性
・プロトコルの脆弱性(プロトコルの仕様上 脆弱な部分)
・ウイルス対策、アクセス制御対策における脆弱性
など 具体例:アクセス制御のないPC
- 人的・管理的脆弱性
人的・管理的脆弱性は、組織や人、運用管理に関する脆弱性です。これらの脆弱性は人が関わる部分であり、いくら脆弱性を低減するように対策に力を入れても思うように実現できないところでもあります。
・組織管理の脆弱性
・人に関する脆弱性
・インシデント発生対処における脆弱性
など 具体例:うっかりミス、好奇心、出来ごころ