リスクとは何でしょうか。
601a33a7 

リスクと言われても、リスクはリスクです。
危険とか、そういう意味ですよね?
過去問(H17NW午前問51)では、「リスクとは、脅威が情報資産のぜい弱性を利用して、情報資産への損失又は損害を与える可能性のことである」と述べています。
リスクは、次の式で表されます。
リスク = 情報資産(の重要性) x 脅威 x 脆弱性

たとえば、銀行のオンラインバンキングで考えます。オンラインバンキングの口座に100万円という大金が入っていれば、これは資産の重要性が高くなります。また、簡単すぎるパスワードという脆弱性があれば、オンラインバンキングを狙う攻撃者という脅威がありますから、リスクが大きくなります。
 一方、通常の銀行口座であれば、これらの脆弱性や脅威は少なくなります。インターネット越しに攻撃ができないからです。つまり、リスクは小さくなります。
リスクは脅威と情報資産と脆弱性

情報資産
情報は全て資産と言えます。ただ、会社の所在地や電話番号などの情報は、お金をかけてセキュリティ対策をする価値はありません。企業HPなどにて公開しているからです。
ですから、セキュリティマネジメントにおける情報資産とは、「営業秘密」「個人情報」に代表される、企業にとって価値のある「資産」と考えましょう。
また、情報資産には、電子データの情報もあれば、紙ベースの情報もある。情報セキュリティで管理する資産は、両方が含まれている。また、情報資産は、個人情報などの「データ」だけではありません。サーバやネットワーク機器などの物理的資産,ソフトウェア資産,人や保有する資格・技能・経験などの人的資産,特許やノウハウといった無形資産などがあります。
情報セキュリティスペシャリスト試験を目指す女性SE 

それは、サーバなどにも顧客情報やら設定情報などの機密情報が含まれているからですか?
いや、データを含まなくても、機器そのものが情報資産と考えられる。ネットワーク機器も情報資産である。特に電子データによる情報資産は、これらの機器が存在して初めて情報資産としての価値がでる。また、情報セキュリティのCIAとして「可用性」という考え方があるように、使いたいときに使える状態になるというのも大事な要素なのである。つまり、サーバやネットワークがきちんと守られていてこそ利用できるので、大事な物理的情報資産である。

脆弱性
 上記で述べた脅威(DoS攻撃、ウイルスなど)が存在しても、それらの脅威に対抗できるだけの対処をしていればリスクにはならない。たとえば、泥棒に入られないようにするために、何重にも鍵をかけ、警備員やセンサー、監視カメラによって監視する。しかし、裏口には鍵がかかっていなければ、簡単に泥棒に入られてしまう可能性がある。この例でいう「裏口には鍵がかかっていない」ことが脆弱性である。脆弱性にはソフトウェアのバグやセキュリティホールに加え、人的な脆弱性(パスワードを安易なものにすることやウイルスソフトを実行しないなど)も存在する。