脅威とは：

企業を例にしてみると、脅威とは企業活動において何らかの脆弱点を持ち、
それらの脆弱点の中で攻撃を受けると企業活動に制約がかかったり、
直接被害を受ける脆弱点の事を言う。このように定義できるであろう。

そもそも企業とは何かというと、ある時期には「存続目的」、またある時期には「収益目的」などと定義できる。

企業活動として必要な要素は、かつては人・物・金という３要素のみであったが、
現在では利便性の高いＩＴインフラとデータ集合体についても情報という位置づけで
第４要素として必須となりつつある。

この情報と呼ばれる要素の扱いや主要度は各企業によって異なるが、
政府系団体や一部のＩＴ関連企業においては重要度は極端に高くなってきている傾向がある。

今までの３要素に対する脅威対策とセキュリティ対策は何千年にも渡って形成されてきているので
特に注意することは少ないが、第４要素は対策が未成熟であることが現世においての課題であると定義できる。

セキュリティとは：

脅威で定義した未成熟である対策が遅れている箇所のうち、
予算と時間と技術が間に合う順に防いぐ行為全般を意味すると言えよう。

現状の課題：

本来、機密情報が外部に流失してしまう可能性を全て閉じた状態から稼動を始めると理想的だが、
よほど恵まれた環境が揃っていない限り無茶であることが多い。

また、仮に完全に外部に流失しない状態で稼動を始めても、
システム構築能力に欠損があると関係者全員に過失的な行為が一切なくても
システムは運転中に自己を破壊してしまうこともある。これをシステム障害とか不具合と呼ぶ。

（バグという場合もあるけれど、システム設計時点で確認工程稼動を元々入れていないなど
全体設計の欠損が原因の場合が多く、脅威と呼べるものは後者側となる。）

簡単な一例を挙げると、Windowsパソコンを皆が利用しているので、
同じ利用なら安全だと判断すると、皆が被害を受けたときに、後から導入した側も同様の被害にあう。

この場合は、Windowsパソコンを利用して利益を得ているので、
利用していないと仮定した場合よりも多くの利潤を手にしたので良しと判断が可能であれば脅威にはならない。

もしも、Windowsパソコン導入と同時に脅威対策をしていたと仮定をすると
得る事ができたであろうものはもっと大きい可能性がある。

この一例を様々なところにあてはめて試算してみると
かなり巨大な数値の差として表面化してきます。
これが脅威全体像であり、セキュリティ対策が必要と騒がれる点であろうと推測するのは容易である。

セキュリティポリシィ：

これらの全体に対する対策を大きな意味で言うところの「セキュリティポリシィ」と呼ぶ。

具体的には、緊急性に対するルール作り、チェックリストなどＴＱＣ道具の適用などを
定めておくことで方向性を失わない、かつ、全体の底上げによる脆弱点の大量回避が容易にできる。

株主や経営責任者においては、これらの進行度合いを総括的に把握する必要がある。
やらなければ「組織が崩壊するのは時間の問題である」という事態にもなりかねない。

具体的には、監査ツールなどにより報告内容と実際のずれを適時確認をするなどである。
個別詳細は監査関連の資料を見るなり監査やセキュリティ対策の専門家に相談をすると良いでしょう。