人によって取り扱う問題が異なるように、企業によって対処すべきリスクは異なります。リスクを評価する前には何がリスクで何がリスクではないのかを特定する必要がありそうです。リスクは脅威と脆弱性の間に生じます。世の中にどのような脅威があるのか、自身の組織にどのような脆弱性があるのかを発見することで、あなたの資産を脅かすリスクが見えてきます。違う言い方をすれば、脅威があるからと言って、自身のリスクにはなるとは限りません。他の国で巨大なハリケーンが発生したとしても、気の毒だと心を寄せますが、自分の家の窓を補強するなんてことはないでしょう。また、自分に脆弱性が無ければリスクになりません。インフルエンザワクチンを打って、マスクをしていれば、今の時代はさほど気にせず生活を変えずに生きていけるでしょう。脅威と脆弱性が両方あってリスクが成り立ちます。
ではその脅威と脆弱性について特定していきましょう。脅威に関しては、「私たちの組織の情報にアクセスすることで、誰が利益を得て、どのような情報を欲しがるのだろうか」と自問するところから始まります。最新のニュースや官公庁の資料、もしくは調査会社のレポートから情報セキュリティに対する潜在的な脅威を特定し、文書化し、最新の情報を常に確認します。また、情報のセキュリティに対する脅威は、組織の内外からもたらされる可能性があります。ITシステムやモバイル機器に保存されている情報はサイバー攻撃の標的です。電子情報、印刷情報、音声情報、あらゆる形態の情報には、適切な保護が必要になるでしょう。
次に脆弱性とは、セキュリティ防御における弱点のことです。つまり、自社の防御の弱点です。脆弱性箇所は恒久的なものではありません。時間とともに変化することを覚えていなければなりません。年1回のセキュリティ自己評価は、セキュリティの脆弱性を特定するためには有効です。