セキュリティ評価の総まとめ — 脅威・脆弱性・リスクを整理する

導入

セキュリティの話で「脅威」「脆弱性」「リスク」という言葉がよく登場しますが、それぞれどう違うかを即答できますか。この3つの関係を正確に理解することが、情報セキュリティを体系的に考えるための出発点になります。

なぜ重要か

情報セキュリティの評価はITパスポートのテクノロジ系分野のなかでも最頻出テーマのひとつです。脅威・脆弱性・リスクの3概念を区別する問題、CIA（機密性・完全性・可用性）の3要素を問う問題、そしてCVSSによる脆弱性の深刻度評価は過去問でも繰り返し登場しています。

また、情報セキュリティの知識はエンジニア職に限らず、企業のあらゆる職種で求められるようになっています。個人情報保護法やサイバーセキュリティ基本法の整備が進み、「知らなかった」では済まされないケースが増えています。自社システムの調達担当者や経営層でも、リスクアセスメントの考え方を理解していることが求められるようになっており、この分野の基礎理解は実務直結の価値を持ちます。

くわしく知ろう

情報セキュリティの評価では、脅威・脆弱性・リスクという3つの概念を正確に区別することが重要です。

脅威（Threat）とは、情報資産に害を与える可能性のある出来事や存在を指します。マルウェア感染・不正アクセス・地震などの災害がこれにあたります。次に脆弱性（Vulnerability）とは、脅威につけ込まれうるシステムや運用上の弱点のことです。パッチが当たっていないソフトウェアや、容易に推測できるパスワードが典型例です。リスク（Risk）は「脅威が脆弱性を突いて実際に被害が発生する可能性と影響度の積」として捉えられており、脅威と脆弱性の両方が存在して初めてリスクが高まります。

セキュリティの基本原則として広く知られているのがCIA（情報セキュリティの3要素）です。機密性（Confidentiality）は許可された人だけが情報にアクセスできること、完全性（Integrity）は情報が正確で改ざんされていないこと、可用性（Availability）は必要なときにシステムや情報を利用できることを意味します。この3要素はどれかひとつが欠けてもセキュリティが成立しないという点が重要です。

CVSS（Common Vulnerability Scoring System：共通脆弱性評価システム）は、脆弱性の深刻度を0〜10のスコアで表す共通の評価基準です。スコアが高いほど深刻であり、9.0以上は「緊急（Critical）」として優先的な対応が求められます。CVSSは世界共通の基準であるため、異なる組織間でも同じ尺度で脆弱性の深刻度を比較・議論できます。

具体例で理解する

たとえば、パッチ未適用のWebサーバー（脆弱性）に不正アクセスを試みる攻撃者（脅威）が存在する場合、情報漏えいが発生するリスクは高いと評価されます。一方、同じ脆弱性があっても外部からアクセス不能なネットワークに置かれていれば、脅威が届かないためリスクは低くなります。また、ファイルが暗号化されて機密性を保ちながらも、ランサムウェアで利用できなくなった場合は可用性が損なわれた状態であり、CIAのAが失われた事例にあたります。

試験での出題パターン

【パターン1：脅威・脆弱性・リスクの定義を問う問題】

「パッチが未適用のソフトウェアはどれにあたるか」という問いに対して、「脅威」「脆弱性」「リスク」「インシデント」から選ぶ形式が典型です。脅威は「害を与えうる存在・出来事」、脆弱性は「弱点・隙」、リスクは「被害が発生する可能性」という定義を短く言えるようにしておくことが大切です。

【パターン2：CIAの3要素のどれが損なわれたかを判断する問題】

「不正なユーザーが社外から機密ファイルにアクセスできた」→機密性の喪失、「データベースのレコードが攻撃者に書き換えられた」→完全性の喪失、「DDoS攻撃でサービスが停止した」→可用性の喪失、という対応関係を押さえておきます。

【パターン3：CVSSに関する知識を問う問題】

「脆弱性の深刻度を0〜10で評価する共通基準はどれか」という問いへの回答がCVSSです。CVSS以外にもCVE（脆弱性の識別番号）という関連用語が登場することがあり、「CVSSはスコア（評価値）、CVEはID番号（識別子）」として区別しておくと安心です。

よくある間違い・紛らわしいポイント

【脅威と脆弱性の取り違え】

もっとも多い誤りが「攻撃者＝脆弱性」「弱点＝脅威」という逆転した理解です。脅威は外部から来る「危険の源」、脆弱性は内部に存在する「つけ込まれる弱点」として区別してください。鍵のかかっていないドア（脆弱性）を狙う泥棒（脅威）というイメージが覚えやすいでしょう。

【CIAに「信頼性（Reliability）」を加えてしまう誤り】

システム品質の指標として「信頼性」は重要な概念ですが、情報セキュリティの3要素CIAには含まれません。試験では「CIAに含まれるものはどれか」という4択に信頼性・真正性・責任追跡性などが紛れ込む出題があるため、Confidentiality・Integrity・Availabilityの3つに厳密に絞って覚えることが必要です。

【リスクの捉え方に関する誤解】

「脅威が大きければリスクも必ず高い」という誤った思い込みがあります。リスクは脅威と脆弱性の両方が存在して初めて高まります。強力な攻撃（脅威）があっても、システムに弱点（脆弱性）がなければリスクは低くなります。この関係性をしっかり理解することが試験での正答につながります。

まとめ・試験ポイント

• 脅威＝情報資産に害を与える可能性のある出来事・存在（攻撃者・マルウェア・災害など）
• 脆弱性＝脅威につけ込まれる弱点（パッチ未適用・推測されやすいパスワードなど）
• リスク＝脅威×脆弱性で生じる被害可能性と影響度（両方が揃って高まる）
• CIA＝機密性（C）・完全性（I）・可用性（A）の3要素（信頼性はCIAに含まれない）
• CVSS＝脆弱性の深刻度を0〜10で示す共通評価基準（9.0以上は緊急）
• CVE＝脆弱性の識別番号（CVSSはスコア・CVEはIDという区別を覚える）
• 試験では脅威・脆弱性・リスクの定義を区別する問題とCIAの3要素が頻出