対象試験と出題頻度
詳細をクリックして確認
ITパスポート試験
情報セキュリティマネジメント試験
基本情報技術者試験
応用情報技術者試験
★★★★★
ランクS(必須・超頻出)
用語の定義
脅威とは、一言で言うと「情報資産に損害を与える可能性のある要因や事象すべて」のことです。
イメージとしては、「家を狙う泥棒、火事、地震などの”危険の元”」と同じです。
家(情報資産)を守るためには、まず「どんな危険があるのか」を知る必要がありますよね。サイバー攻撃だけでなく、自然災害や人為的ミスも含めて、情報資産を脅かす可能性があるものすべてが「脅威」です。
解説
脅威は、情報セキュリティにおけるリスク分析の基本要素の一つです。「情報資産」「脅威」「脆弱性」の3つを掛け合わせることでリスクの大きさが決まります。脅威は大きく3つのカテゴリに分類されます。
- 意図的脅威(人為的・故意): 不正アクセス、マルウェア攻撃、内部犯行、標的型攻撃など
- 偶発的脅威(人為的・過失): 操作ミス、設定ミス、メール誤送信、USBメモリの紛失など
- 環境的脅威(自然・環境): 地震、洪水、落雷、火災、停電など
脅威を正しく認識しなければ、適切なセキュリティ対策は立てられません。例えば、サイバー攻撃ばかりに気を取られて自然災害への備えを怠ると、地震でサーバーが倒壊してデータを失う可能性があります。脅威を網羅的に把握することが、効果的なセキュリティ対策の第一歩です。
具体的な活用例・対策
脅威に対処するために、以下のような取り組みが行われています。
- 脅威の洗い出し・分析: 組織が直面する可能性のある脅威を網羅的にリストアップし、発生可能性と影響度を評価する
- 脅威インテリジェンス: 最新のサイバー攻撃手法や脅威動向の情報を収集・分析し、対策に活用する
- 多層防御(Defense in Depth): 複数の対策を重ねて、一つの脅威が突破されても被害を最小化する
- BCP(事業継続計画): 自然災害などの環境的脅威に備え、業務を継続するための計画を策定する
- セキュリティ教育: 人為的ミスによる偶発的脅威を減らすため、従業員への教育・訓練を実施する
試験ではこう出る!
ITパスポート・情報セキュリティマネジメント試験・基本情報技術者試験・応用情報技術者試験のすべてで超頻出です。以下のキーワードとセットで覚えましょう。
【重要キーワード】
- 情報資産・脆弱性・リスク(リスク分析の3要素)
- 意図的脅威・偶発的脅威・環境的脅威
- 脅威インテリジェンス
- リスクアセスメント・リスク分析
- マルウェア・不正アクセス・ソーシャルエンジニアリング
試験問題で「情報資産に損害を与える可能性がある要因」「セキュリティを脅かす事象」といった記述があれば、それは「脅威」に関する記述です。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. 脅威に関する説明として、最も適切なものはどれでしょうか?
- A. 情報資産に損害を与える可能性のある要因や事象(攻撃、災害、ミスなど)のこと
- B. システムやソフトウェアに存在するセキュリティ上の弱点や欠陥のこと
- C. 脅威が脆弱性を突いて実際に損害が発生する可能性とその影響度のこと
正解と解説を見る
正解:A
解説:
脅威(Threat)とは、情報資産に損害を与える可能性のある要因や事象のことです。サイバー攻撃などの意図的脅威、操作ミスなどの偶発的脅威、自然災害などの環境的脅威に分類されます。
Bは「脆弱性(Vulnerability)」、Cは「リスク(Risk)」の説明です。「脅威」は攻撃や災害そのもの、「脆弱性」は守る側の弱点、「リスク」は実際に被害が発生する可能性という違いを押さえておきましょう。
