脅威は何に取り付くのか？

脅威は何に取り付くのか？

脅威とは何であるかを考えると、これはなかなか難しい議論であることに気がつく。変化することも変化しないことも脅威になりうる。人（組織）にとって都合が悪いことは全部脅威だから、しかも結果論で以って過ぎてしまった事象をあれは脅威だったとやるので始末が悪い。また時間的スパンを変えると脅威であったり無かったりするとますます始末が悪い。人（組織）が変われば脅威も変わる。絶対的脅威なんて存在できるのかどうか怪しい。他人の不幸は自分の幸福？でも無いでしょうが、誰かが困っていればそこにはビジネスチャンスがある訳で脅威はチャンスにも成り得るかもしれない。

どうやら脅威は「人」に取り付くようです。「人」の都合に悪いこと、あるいは「人」の目的に取り付く不都合なことが脅威。

ところで、ISMSでは情報資産に対する脅威を洗い出すことになっています。が、資産を見ていきなり脅威を洗うことは出来ないのはこういった事情なんでしょう。

資産もまた人のご都合を達成するために存在するので、人の都合が資産のあるべき状態を決定することになっている筈です。

なんと言うことはないですね。人の都合や目的がプロセスを作り資源を配置し仕事をすることに繋がるのは只の常識？。

目的達成のための業務プロセスが前提とする情報資産の状態を脅かすものが脅威。当該業務プロセスで、情報資産のCIAの側面でどのようでなければいけないかを知ることが先決です。でもこれって情報資産の価値を調べる作業の中に含まれているはずですね。

手順で考えると、

組織は組織目標達成のためにプロセス（ビジネスモデル）を決定し資源を配置する。資源の一部である情報資産もプロセス遂行要件を達成できるレベルで維持される。遂行要件を達成できないときのプロセスインパクト（ビジネスインパクト）が資産価値であり、遂行要件達成を脅かすものが脅威である。

目的を書いて、次にプロセスを書いて、次に資源を書いて、資源のあるべき状態を書く。次に、資源のあるべき状態に対する問題事象（広義の脅威）を書く。

.*.

ここで、脅威は脆弱性の側面を併せ持つことにも留意することが必要です。脅威と脆弱性も相対的な関係があって明確な線引きは容易でありません。ですから上の説明の脅威は広義の脅威（脅威＋脆弱性）と考えておいた方が収まりは良さそうです。規格はセキュリティ障害として括っている。（4.2.1e)2)）

脅威と脆弱性の引き離しは、よく言われる「脅威はコントロールできないが脆弱性はコントロールできる」という言葉に象徴されることが一つの発想になります。盗難というセキュリティ障害（情報の紛失あるいは漏洩）において、泥棒の存在には手を打てないが鍵の掛け忘れには手を打てるとやるわけです。

ところがメールの誤送信（情報漏えいリスク）はどうでしょう。確認洩れ、勘違い、うっかりクリックなど。脅威が人の内面に潜むケース。ヒューマンエラーとする部分。どれだけ教育・周知を繰り返して一定の比率以下には下がりません。コントロール不可？

ヒューマンエラーも脅威として認識し、対策は教育周知ですますのは、50点です。教育周知では収まらないからわざわざヒューマンエラーを脅威としているのですから、例えばプロセスの欠陥と捉えて脆弱性として理解しなければいけません。

.*.