1.対象の概要(入門知識)
情報セキュリティリスクとは、組織や個人の情報資産(データ・システム・ネットワーク)が、外部攻撃や内部不正、運用上の不備によって機密性・完全性・可用性を脅かされるリスクの総称です。
1-1.主なリスク分類
| リスク・ロス | 内容 |
| マルウェアリスク RL-012 | ウイルス・ランサムウェアなど悪意あるソフトウェアによる被害 |
| 不正アクセスリスク RL-013 | 外部侵入、内部不正、パスワード突破など |
| 情報漏洩リスク RL-014 | USB紛失・誤送信・不正持ち出しによる漏洩 |
| 可用性リスク RL-015 | DDoS攻撃やシステム障害で業務が停止 |
| 運用・管理ミス RL-016 | 権限設定ミスやバックアップ不備 |
| システム関連リスク RL-017 | 老朽化・脆弱性・更新遅延 |
| 人的要因 RL-018 | 内部不正・ヒューマンエラー |
| 外部攻撃・脅威 RL-019 | ハッカーや犯罪組織による攻撃 |
1-2.概要図イメージ
2.ケーススタディ
Case2508-002
ある自治体の職員Dさんは、業務効率のために住民データをUSBメモリにコピーして持ち帰りました。
しかし、そのUSBを帰宅途中に紛失。しかも暗号化されておらず、数万人分の個人情報が外部に流出する恐れが生じました。
ニュースで大きく取り上げられ、住民からは「自分の情報は大丈夫か?」という問い合わせが殺到。自治体は謝罪会見を開きましたが、信頼は大きく揺らぎました。
Dさんは「ちょっと便利にしようとしただけだったのに…」と後悔し、組織全体も「セキュリティ教育とルール徹底の重要性」を痛感しました。
3.主なプロセス(流れ)
平常時(通常業務)
→ セキュリティ上の油断・不備
→ 外部攻撃や内部不正、ヒューマンエラー発生
→ 情報流出・改ざん・システム障害
→ 被害顕在化(業務停止・信用失墜)
4.トラブルや被害
4-1.トラブルや被害(一次被害)
| トラブル | 内容 |
| 情報の流出 | 個人情報・機密情報が外部に漏れる |
| システムの停止 | サービス利用不可、業務継続が不可能に |
| 不正利用 | クレジットカードやアカウントが悪用される |
4-2.トラブルや被害(二次被害)
| トラブル | 内容 |
| 信用失墜 | 顧客・住民からの信頼喪失、契約解除 |
| 経済的損失 | 補償費用、裁判費用、システム復旧費用 |
| 社会的混乱 | 公共サービスの停止、社会不安の拡大 |
| 犯罪資金化 | 流出した情報が詐欺・犯罪組織に悪用される |
5.要因(なぜ起きるのか?)
