情報セキュリティ
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2023/10/17 07:53 UTC 版)
用語
情報セキュリティに関して使用される次の用語(概念)がある。
- リスク (risk): 何かしらの損失を発生させる事態や状況への可能性。また、考えられる脅威を分析した結果として認識される損失発生の可能性(リスク因子)を指すこともある。リスクの分析をリスク分析という。
- 脆弱性 (vulnerability): リスクを発生させる原因。
- 脅威 (threat): 脆弱性を利用 (exploit) して、リスクを現実化させる手段。自然災害も含まれる。
- インシデント (incident): 発生する可能性の高い脅威。
- 対抗策 (countermeasure): 脅威がリスクを現実化することを抑止(最小化)しようとする手段。対策ともいう。
JIS Q 27001 では、これらを次のとおりに定義している。これらは、ISO/IEC 27001 の定義を訳したものである。
- リスク (risk): 事象の発生確率と事象の結果との組合せ。
- 脆弱性 (vulnerability): 一つ以上の脅威がつけこむことができる、資産または資産グループがもつ弱点。
- 脅威 (threat): システムまたは組織に損害を与える可能性があるインシデントの潜在的な原因。
- 情報セキュリティインシデント(information security incident): 望まない単独もしくは一連の情報セキュリティ事象、または予期しない単独もしくは一連の情報セキュリティ事象であって、事業運営を危うくする確率および情報セキュリティを脅かす確率が高いもの。
- 情報セキュリティ事象 (information security event): システム、サービスまたはネットワークにおける特定の状態の発生。特定の状態とは、情報セキュリティ基本方針への違反もしくは管理策の不具合の可能性、またはセキュリティに関連するかもしれない未知の状況を示していることをいう。
- リスク対応 (risk treatment): リスクを変更させるための方策を、選択および実施するプロセス。
- ^ “情報セキュリティマネジメントシステム ― 用語” (2019年1月). 2020年5月19日閲覧。
- ^ 情報セキュリティ政策会議「政府機関の情報セキュリティ対策のための統一基準」内閣官房情報セキュリティセンター (NISC)
- ^ ISO 7498-2:1989 Information processing systems - Open Systems Interconnection - Basic Reference Model - Part 2: Security Architecture(OSI基本参照モデル-第2部:セキュリティアーキテクチャ)
- ^ OECD Guidelines for the Security of Information Systems(経済協力開発機構 情報セキュリティに関するガイドライン)
- ^ ISO/IEC TR 13335-1:1996 Information technology - Security techniques - The Guidelines for the management of IT Security - Part 1: Concepts and models for IT Security(情報技術-セキュリティ技術-情報技術セキュリティ管理指針-第1部:情報技術セキュリティの概念及びモデル)
- ^ JIS Q 13335-1:2006 情報技術―セキュリティ技術―情報通信技術セキュリティマネジメント―第1部:情報通信技術セキュリティマネジメントの概念及びモデル.
- 情報セキュリティのページへのリンク