is to determine where an organization

は、組織がどこにあるのかを見極めることです。

may be most exposed or where something bad might happen

穴場

that could hurt the organization's ability

組織の能力を低下させる可能性のある

to deliver on its intended mission.

は、その意図した使命を果たすために

The quality of all other security assessments

その他のすべてのセキュリティ評価の質

will improve if you're using the results

は、その結果を利用すれば改善されるでしょう。

of a recent risk assessment as one of your key inputs.

最近のリスクアセスメントを重要なインプットの1つとする。

When you're conducting a risk assessment

リスクアセスメントを実施する場合

your goal will be to identify threats and vulnerabilities

脅威と脆弱性を特定することが目標です。

that could potentially harm the organization.

組織に損害を与える可能性のあるもの

Knowing the difference between a threat

脅威の違いを知る

and a vulnerability is essential.

と脆弱性が不可欠です。

Fortunately, we can turn to NIST,

幸いなことに、私たちはNISTに頼ることができます。

the National Institute of Standards and Technology,

米国国立標準技術研究所（National Institute of Standards and Technology）。

to help us better understand that difference.

その違いをよりよく理解するために

NIST considers a threat to be a circumstance or event

NISTは、脅威を状況または事象とみなしています。

that could damage the confidentiality, integrity,

機密性、完全性を損なう可能性のあるもの。

or availability of information or information systems.

または情報もしくは情報システムの可用性。

That means if something or someone could expose

つまり、何か、あるいは誰かが暴露する可能性がある場合

an organization's secret information,

組織の秘密情報

stuff like intellectual property

知的財産権のようなもの

or customer personal information

またはお客様の個人情報

or if that thing could make changes

とか、あれで変化できるのなら

without the proper approvals,

適切な承認がない場合

or if that person could take a web application offline,

とか、その人がWebアプリケーションをオフラインにできるのかとか。

well, then that's a threat.

ということであれば、それは脅威です。

A vulnerability is a weakness that enables the threat

脆弱性とは、脅威を可能にする弱点のこと。

to be successful.

を成功させる。

A missing security patch is a great example

セキュリティパッチの欠落はその好例

of a vulnerability,

脆弱性の

so is a default admin password still in use

デフォルトの管理者パスワードがまだ使用されているかどうか

on some internet-facing web portal.

インターネットに面したウェブポータルで

When it comes to availability,

可用性に関して言えば

the fact that a data center is located in an area

データセンターが地域にあること。

prone to flooding or tornadoes is an example

洪水や竜巻が起こりやすいのは、その一例です。

of a physical vulnerability.

物理的な脆弱性の

During your risk assessment

リスクアセスメント中

you'll identify the threats and vulnerabilities

脅威と脆弱性を特定することができます。

about which the organization should be concerned

関知すべきこと

and then you'll score the potential likelihood

を採点して、潜在的な可能性を判断するのです。

and the potential impact of each risk.

と、各リスクの潜在的な影響について説明します。

Likelihood is the probability

尤度とは、確率のことです

that a threat might actually succeed

あながち

in exploiting a vulnerability.

脆弱性を悪用した

Let's look at malware, as an example.

例として、マルウェアについて見てみましょう。

What's the likelihood

可能性は？

that your laptop will get infected with a virus?

あなたのノートパソコンがウイルスに感染することはありませんか？

Well, it depends on a number of things, doesn't it?

まあ、いろいろなことに左右されますよね。

Do you run an antivirus program?

ウイルス対策ソフトを導入していますか？

Do you use your laptop to access the internet?

ノートパソコンでインターネットにアクセスすることはありますか？

Do you open email attachments from people you don't know?

知らない人からのメールの添付ファイルを開いていませんか？

As you ask relevant questions about each threat and

それぞれの脅威について関連する質問をしながら、そして

about how exposed you might be to different attack vectors,

攻撃経路の違いによる影響を受ける可能性があること。

it should become apparent whether or not

かどうかが明らかになるはずです。

the risk you're considering is highly likely to do harm,

あなたが検討しているリスクは、害を及ぼす可能性が高い。

highly unlikely, or somewhere in between.

可能性が高いか、その中間か。

That's why NIST relies on a high, medium,

そのため、NISTは高、中、に頼っている。

low scale when scoring risks.

リスクをスコアリングする際に低スケールにする。

You also need to consider the impact though,

でも、影響も考えないといけない。

to get an accurate risk score.

をクリックすると、正確なリスクスコアが表示されます。

If your laptop gets infected with malware,

ノートパソコンがマルウェアに感染したら

well, that'll make for a bad day for you.

まあ、それはあなたにとって悪い日になるでしょう。

But what if the entire server network

しかし、サーバー・ネットワーク全体ではどうでしょう

at your company gets infected with malware?

あなたの会社でマルウェアに感染していませんか？

The impact of an incident

インシデントの影響

like that would be much more expensive

そんなことしたら、もっと高くつく

since it impacts a lot more people.

より多くの人に影響を与えるからです。

NIST follows the same low, medium,

NISTも同じロー、ミディアムを踏襲しています。

high scoring methodology for the impact

インパクトの高得点獲得手法

as it does for likelihood.

を、好感度のために使用します。

All you have to do is combine the two scores,

2つのスコアを合算すればいいのです。

often through a simple math equation, and voila,

を、簡単な計算式で実行すると、出来上がりです。

you have a risk score.

リスクスコアがあります。

If you've never conducted a risk assessment

リスクアセスメントを実施したことがない場合

my advice to you is that you don't get caught up

私からのアドバイスは、「巻き込まれないこと」です。

in the details just yet.

は、まだ詳細が決まっていません。

Again, the goal of a risk assessment is to prioritize risks

繰り返しになるが、リスクアセスメントの目的は、リスクに優先順位をつけることである

so that you can take the necessary action to

に必要なアクションを起こせるように。

reduce those scores to an acceptable level based

をベースに、それらのスコアを許容レベルまで引き下げます。

on the leadership team's risk appetite.

リーダーシップチームのリスク選好度に関する

When preparing for an upcoming risk assessment

リスクアセスメントを控えている場合

make sure to do your research.

は必ず調べてください。

Verizon's Data Breach Investigations Report

ベライゾンのデータ侵害調査報告書

has a lot of real world data on actual security incidents

は、実際のセキュリティインシデントに関するリアルワールドのデータを多く持っています。

that resulted in data breaches.

が、情報漏えいの原因となりました。

And so does the Privacy Rights Clearinghouse

そして、プライバシー権クリアリングハウスも同様

chronology of data breaches.

情報漏えいの年表。

You can also turn to industry-specific

また、業界に特化したものに目を向けることもできます。

Information Sharing and Analysis Centers, or ISACs,

情報共有・分析センター（ISAC）。

for threat and vulnerability information relevant

脅威や脆弱性に関する情報については

to your specific industry.

を、あなたの特定の産業に

You can even turn to your internal

社内に向けてもいい

IT service management system

ITサービスマネジメントシステム

for historical help desk ticket information.

をクリックすると、過去のヘルプデスクチケット情報をご覧いただけます。

As a matter of fact,

実を言うと

I highly recommend that you do just that

是非ともお勧めしたいこと

before embarking on your first risk assessment.

最初のリスクアセスメントに着手する前に。

At the end of the day you should have a report

一日の終わりには、報告書を作成する必要があります。

that contains a prioritized list

優先順位をつけたリストを含む

of information security risks that your leadership team

リーダーシップチームが直面する情報セキュリティリスクのうち

will want you to keep a close eye on.

を注視していただきたいと思います。

(upbeat music)

(アップビート・ミュージック)