ある日
サイバーセキュリティお嬢様(以下CSお嬢様)「おーほっほ!」
CSお嬢様「CIAも追加の4要素も完璧、」
CSお嬢様「これで怖いもの無しですわぁー!」
じいや「お嬢様!甘いですぞ!」
CSお嬢様「じいや一体何事ですの」
じいや「お嬢様にはこれから怖い話をして差し上げましょうぞ」
情報資産とは
じいや「怖い話の前に」
じいや「まず守るべきもの、の話をしましょうか」
CSお嬢様「じいやが守るべきものはわたくしに決まってましてよ?」
じいや「おっしゃる通りですお嬢様」
じいや「そして」
じいや「情報セキュリティ上の脅威から守るべき資産のことを情報資産と呼びますぞい」
CSお嬢様「つまり」
CSお嬢様「わたくし=情報資産ってことですわね!」
じいや「あえてツッコミはしませんぞ、お嬢様」
リスクとは
じいや「リスク(risk)とは」
じいや「目的に対する不確かさの影響、ですじゃ」
CSお嬢様「今回もじいやが何を言っているのかさっぱりですわ」
じいや「じいやはJIS Q27000で規定されている文章をそのまま読み上げたまでですぞ」
じいや「今回もお嬢様にも分かる様に説明いたしますと」
じいや「先ほど述べた、情報資産を脅かす要因...つまりは脅威によって情報資産が損なわれる可能性のこと」
じいや「例えば」
じいや「お嬢様に対してなんらかの被害が及ぶ可能性がある状況...」
じいや「それには、【脅威】と【脆弱性】について理解を深める必要がありますぞい」
脅威とは
CSお嬢様「脅威、ってなんですの」
じいや「脅威(threat)とは」
じいや「先ほどさらっと触れましたが」
じいや「システム又は組織に損害を与える可能性がある、望ましくないインシデントの潜在的な要因のことですぞ」
CSお嬢様「まーたインシデントとかいう新しい言葉が出てきやがりましたわ」
じいや「お嬢様、お言葉を謹んでいただきたいものですな」
じいや「リスクが【可能性】を指すのに対し」
じいや「インシデントは【リスクが顕在化した事態】のことを指すのですぞ」
じいや「リスク→インシデント というイメージですな」
CSお嬢様「なんとなくつかめてきましたわ」
じいや「話を戻すと」
じいや「脅威は」
じいや「お嬢様が何者かに攫われたり」
じいや「我々使用人がなんらかのミスでお嬢様にお怪我をさせてしまったり」
じいや「そういったことを指しますな」
CSお嬢様「想像しただけでゾッとしますわね」
脆弱性とは
CSお嬢様「それで、きじゃくせい...ってなんですの?」
じいや「お嬢様、 【ぜいじゃくせい】 と読むのですぞ」
じいや「脆弱性(vulnerability)は」
じいや「1つ以上の脅威によって付け込まれる可能性のある、資産又は管理策の弱点、のことですじゃ」
CSお嬢様「じいや、分かってますわよね?」
じいや「もちろんですぞ」
じいや「お嬢様にも分かる様に説明いたしますと」
じいや「お嬢様をお守りする警備体制の甘さや」
じいや「使用人がうっかり機密事項を外部に話してしまうようなリテラシーの低さ」
じいや「システムだと、バグや不具合なども該当しますな」
CSお嬢様「つまり、弱点(ウイークポイント)ってことですわね!」
じいや「先ほどじいやが説明したところですが、まあその通りですぞ」
おわりに
じいや「どうでしたかな」
CSお嬢様「今回も難しかったけれど、なんとかついていけたわ、ありがとうじいや」
じいや「これからも少しずつセキュリティの知識を身につけて」
じいや「真のサイバーセキュリティお嬢様を目指すのですぞ」
CSお嬢様「わたくし頑張りましてよー!」
参考文献
サイバーセキュリティ入門 第2版
情報セキュリティ読本 五訂版
前回までのあらすじ
サイバーセキュリティお嬢様「CIAってなんですの?」
サイバーセキュリティお嬢様「しんせいせい...ってなんですの?」
次回以降
サイバーセキュリティお嬢様「マルウェア...?スキーウェアのお仲間ですの?」
サイバーセキュリティお嬢様「クラッカー?何それ食べられますの?」
サイバーセキュリティお嬢様「ハクティビストってなんですの?」
サイバーセキュリティお嬢様「F5攻撃(アタック)ってなんですの?」
サイバーセキュリティお嬢様「SQLいんじぇくしょん...ってなんですの?」
サイバーセキュリティお嬢様「クロスサイトスクリプティング?...美味しそうですわぁ!」