●トピック
●深く知る
リスクは脅威と脆弱性の両方があって成り立つ。脅威に対して脆弱性がなければ、わざわざ強化的な対応をするのは後回しでもよい。認知した各脅威に対して自身のセーフガードが機能しているかを確認する必要がある。共有脆弱性評価システム(CVSS)は、脆弱性の有無を判定する3段階の評価基準が定義されている。それぞれの段階において脆弱性の有無を検討することで、複雑な脅威に対しても整理されることであろう。
脆弱性を収集するのは簡単である。NISTのが管理するNVDやIPA(独立行政法人 情報処理推進機構)が管理するJVNを参考にすれば、すぐに最新の脆弱性レポートが確認できる。