セキュリティ評価の総まとめ — 脅威・脆弱性・リスクを整理する

導入

セキュリティの話で「脅威」「脆弱性」「リスク」という言葉がよく登場しますが、それぞれどう違うかを即答できますか。この3つの関係を正確に理解することが、情報セキュリティを体系的に考えるための出発点になります。

くわしく知ろう

情報セキュリティの評価では、脅威・脆弱性・リスクという3つの概念を正確に区別することが重要です。

脅威（Threat）とは、情報資産に害を与える可能性のある出来事や存在を指します。マルウェア感染・不正アクセス・地震などの災害がこれにあたります。次に脆弱性（Vulnerability）とは、脅威につけ込まれうるシステムや運用上の弱点のことです。パッチが当たっていないソフトウェアや、簡単に推測できるパスワードが典型例です。リスク（Risk）は「脅威が脆弱性を突いて実際に被害が発生する可能性と影響度の積」として捉えられています。

セキュリティの基本原則として知られているのがCIA（情報セキュリティの3要素）です。機密性（Confidentiality）は許可された人だけが情報にアクセスできること、完全性（Integrity）は情報が正確で改ざんされていないこと、可用性（Availability）は必要なときにシステムや情報を利用できることを意味します。

CVSS（Common Vulnerability Scoring System：共通脆弱性評価システム）は、脆弱性の深刻度を0〜10のスコアで表す共通の評価基準です。スコアが高いほど深刻で、優先的な対応が求められます。

具体例

たとえば、パッチ未適用のWebサーバー（脆弱性）に不正アクセスを試みる攻撃者（脅威）が存在する場合、情報漏えいが発生するリスクは高いと評価されます。一方、同じ脆弱性があっても外部からアクセス不能なネットワークに置かれていればリスクは低くなります。

まとめ・試験ポイント

• 脅威＝情報資産に害を与える可能性のある出来事・存在
• 脆弱性＝脅威につけ込まれる弱点（パッチ未適用など）
• リスク＝脅威×脆弱性で生じる被害可能性と影響度
• CIA＝機密性・完全性・可用性（情報セキュリティの3要素）
• CVSS＝脆弱性の深刻度を0〜10で示す共通評価基準
• 試験では脅威・脆弱性・リスクの定義を区別する問題が頻出