セキュリティリスク

セキュリティリスクとは

情報やテクノロジーの不確実性に関連する影響度であり、IT資産が「機密性」「完全性」「可用性」の損害を受ける危険度のことです。

例として、サイバー攻撃や内部不正、シャドーIT、システムの設定ミスや脆弱性が挙げられます。

組織の情報資産やシステムが漏洩されないこと、最新の状態で正確であること、正常な状態であることを常時維持するために、組織全体でセキュリティリスクを理解し、適切な対策を講じることが重要です。

サイバー攻撃の課題

内部不正

内部不正

組織内部の人間による悪意をもって引き起こされる不正のことで、重大なセキュリティインシデントを引き起こす可能性があります。適切な権限管理やアクセス制限、リテラシー向上のためのトレーニング、有事に備えたログの保持などが有効な対策です。

シャドーIT

シャドーIT

組織の公式な承認プロセスを経ずに利用されているIT資産です。正規の管理下にないために悪用されるリスクが高く、悪用された際には発見や調査の遅れにつながります。システムによる自動発見・可視化の仕組みを取り入れることが有効な対策です。

脆弱性

脆弱性

システムの弱点・欠点であり、サイバー攻撃を行う際に攻撃者が悪用し情報搾取や破壊する可能性のある箇所です。組織内のIT資産情報を適宜収集・管理し、脅威・脆弱性情報の収集、脆弱性評価・パッチ管理実現のための体制整備が重要です。

設定ミスやベストプラクティスに反する設定

設定ミスやベストプラクティスに反する設定

広義の意味で脆弱性の1つです。設定の悪用であり、正規の挙動と判定されるために悪用された場合には検出、調査が非常に困難です。最新のセキュリティ規格を基準にしたベストプラクティスチェックと適切な設定管理を行うことが重要です。

対象製品

製品・サービスに関する問い合わせ