「脅威」とは、組織の目的達成を脅かすもの・ことを言います。すなわち、リスクをもたらす要因になり得るものです。具体的には例えば、ハッキング、コンピュータウイルス、操作ミス、自然災害などが挙げられます。
この言葉は、ISOマネジメントシステム規格にもたびたび登場します。情報セキュリティ管理(ISMS)の国際規格の1つISO27002では次のような場面で登場します。
リスクアセスメントによって資産に対する脅威を特定し、事故発生につながるぜい弱性及び事故の起こりやすさを評価し、潜在的な影響を推定する。
出典:ISO27002:2014 0.2情報セキュリティ要求事項より
「脅威」に似た言葉
脅威と似た言葉に、事象(イベント)、ハザード(危険)、リスクなどがあります。
事象(イベント)とは、「ある一連の周辺状況の出現又は変化」を指します。一般的に使われる際の意図とほぼ同じことを指し、ごく一般的な「催し物」から、企業に悪影響を与える脅威(例:火災など)にいたるまで、さまざまな状況を指します。
ハザード(危険)は、組織の目的達成を脅かす要因という観点では「脅威」と同じです。が、それ自体では組織に襲いかかるものではなく、組織が何らかのアクションをとることによって陥るワナなどのことを指します。言い換えますと、脅威は能動的に脅かすものであるのに対し、ハザードは受動的に脅かすもの、と表現できます。
リスクは、「目的に対する不確かさの影響」です。つまり、組織の目的達成を脅かす程度とその“可能性”を指します。地震を脅威に例えますと、リスクは「地震によって事業中断が起きる可能性」といった表現で表すことになります。
「脅威」の意義
企業のリスク管理では、リスクを特定し、分析し、評価し、対応する活動が継続的に行われています。この際の「リスク特定」の活動に、「脅威」という言葉が深く関係してくることになります。
なぜなら、リスク管理の国際規格であるISO31000の「リスク特定」の項でも「(リスク特定では)原因及び起こり得る結果を特定することが望ましい」と述べられていますが、「脅威」はリスクの要因になり得るものだからです。つまり、企業にとってのリスクを洗い出す際に、「脅威」を意識することが重要となるわけです。
事実「情報漏えい」や「事業中断」など、結果から考えたほうがリスクを洗い出しやすい場合もあれば、「地震」や「火災」といった要因(脅威)から考えたほうがリスクを洗い出しやすい場合もあるでしょう。
「脅威」を洗い出す方法
脅威は、その脅威の主語になり得るものを考えると洗い出しやすくなります。脅威の主語になる得るものとは、たとえばハッカーや泥棒、テロリスト、従業員、自然などです。
下記は、これらを体系的に分類する一例です。
| 脅威の種類 | 具体例 | |
|---|---|---|
| 人為的脅威 | 意図的(計画的)脅威 | 記憶媒体の不正使用、盗難、盗聴、通信への侵入、ユーザIDの偽り |
| 偶発的脅威 | 人的リソース不足、オペレータの操作ミス、ソフトウェアの故障 | |
| 環境的脅威 | 地震、洪水、落雷、火事、停電、記憶媒体の劣化、ほこり、静電気 | |
【出典:ISMSユーザーズガイド JISQ27001:2006(ISO/IEC27001:2005)対応の記載内容を基に筆者が編集】
なお、人為的脅威に関しては、さらにこれらを、第一者(本人)、第二者(例:取引先やグループ会社)、第三者(部外者)に分け、それを意図的か偶発的脅威かで分類することもできます。
