10-1-3. 脆弱性の識別
脆弱性の識別
脆弱性があるだけでインシデントが発生するわけではありません。しかし、脆弱性は脅威を顕在化させ、インシデントの発生確率を高める可能性があります。脆弱性を減らすためには、適切な管理策を実施する必要があります。脆弱性は管理策の欠如を同時に意味しているため、脆弱性を識別することは必要な管理策を識別するのに役立ちます。たとえば「アクセス権の誤った割当て」という脆弱性は、「アクセス権の適切な設定」という管理策の欠如を意味しています。
以下は、脆弱性を識別して一覧表にした例です。脆弱性の一覧表を作成する際は、脅威と関連付けて整理する必要があります。
類型
脆弱性の例
脅威の例
ハードウェア
記憶媒体の不十分な保守/不適当な設置
システムの保守に関する違反
定期的な交換計画の欠如
機器や媒体の破壊
湿気、ホコリ、汚れに対す影響の受けやすさ
粉塵(ダスト)、腐食、凍結
有効な構成変更管理の欠如
使用時のミス
電圧の変化に対する影響の受けやすさ
電力供給の停止
温度変化に対する影響の受けやすさ
気象現象
保護されない保管
媒体や文書の盗難
廃棄時の注意の欠如
媒体や文書の盗難
管理されないコピー作成
媒体や文書の盗難
ソフトウェア
監査証跡の欠如
不正アクセス
アクセス権の誤った割当て
不正アクセス
複雑なユーザインタフェース
使用時のミス
文書化の欠如
使用時のミス
ユーザの識別及び認証メカニズムの欠如
不正アクセス
不十分なパスワード管理
不正アクセス
不要なサービスが実行可能
データの違法な処理
効果的な変更管理の欠如
ソフトウェアの誤作動
管理されてないソフトウェアのダウンロード及び使用
恐怖、攻撃、妨害行為
バックアップコピーの欠如
装置又はシステムの故障
脆弱性の識別例
(出典)「ISO/IEC 27005」を基に作成
脆弱性を識別する際に参考になる情報
- ISO/IEC 27001:2022の附属書A「管理目的及び管理策」
- ISO/IEC 27002:2022の管理策
- 情報セキュリティ管理基準
など
脆弱性は、資産の性質から考えることで簡単に識別できます。たとえば、クラウドサービスは、「インターネットがあればどこでも利用可能」、「自社でデータを持たなくていい」といった性質を持ちます。同時にそれらの性質は「不正アクセス」「クラウドサービス停止によるデータの消失」という脅威に対する脆弱性があります。