📌 結論から理解する
脅威・脆弱性・リスクは「別物」
この3つを混同するのは試験でも実務でも致命的ミスです。
⚡
脅威(Threat)=害を及ぼしうる原因・出来事
例:マルウェア、不正アクセス、地震、火災、内部不正
例:マルウェア、不正アクセス、地震、火災、内部不正
🔓
脆弱性(Vulnerability)=脅威につけ込まれるシステムや組織の弱点
例:パッチ未適用、弱いパスワード、施錠なし、教育不足
例:パッチ未適用、弱いパスワード、施錠なし、教育不足
⚠️
リスク(Risk)=脅威が脆弱性をついて損害が発生する可能性
リスク ≈ 脅威 × 脆弱性(発生可能性 × 影響度)
リスク ≈ 脅威 × 脆弱性(発生可能性 × 影響度)
3つの関係を具体例で理解する
例:Webサーバの場合
脅威
攻撃者がSQLインジェクション攻撃を試みる
脆弱性
Webアプリがプレースホルダを使わず入力値を検証していない
リスク
攻撃者が脆弱性をついて顧客DBから個人情報を盗む可能性
脆弱性をなくす(パッチ適用・設計修正)か、脅威を減らす(アクセス制限・監視)ことでリスクを下げられます。
脅威の分類
| 分類 | 種類 | 例 |
|---|---|---|
| 人的脅威 (意図的) |
外部攻撃者による意図的な攻撃 | 不正アクセス・マルウェア配布・フィッシング・標的型攻撃 |
| 人的脅威 (非意図的) |
ミス・過失による事故 | 誤送信・誤操作・紛失・設定ミス |
| 技術的脅威 | システムの欠陥・障害 | ソフトウェアバグ・ハードウェア故障・ネットワーク障害 |
| 物理的・環境的脅威 | 自然災害・物理的破壊 | 地震・火災・洪水・停電・盗難 |
脆弱性の種類
技術的脆弱性
- パッチ・アップデート未適用
- 弱いパスワード設定
- 不要なポートの開放
- プログラムの設計ミス(バグ)
- デフォルトのID/パスワード使用
人的・組織的脆弱性
- セキュリティ教育の不足
- ルール・ポリシーの未整備
- 権限の過大付与
- ログ監視の未実施
- 委託先管理の不備
ゼロデイ脆弱性とは
ゼロデイ脆弱性とは、ソフトウェアベンダーがまだ把握していない(修正パッチが出ていない)脆弱性のことです。
- 発見されてからパッチが出るまでの間が最も危険
- 攻撃者が脆弱性を先に発見して悪用→ゼロデイ攻撃
- 対策が難しいため、多層防御(Defense in Depth)が重要
- JPCERT/CCなどが脆弱性情報を収集・公開
「パッチが提供されていない状態で攻撃を受けた」→ゼロデイ攻撃。これは試験でよく登場するシナリオです。
よくある勘違い
「脅威がなければリスクはゼロ」は誤り。脅威がなくても脆弱性が存在する限りリスクはゼロにはなりません(将来脅威が現れた時のリスク)。
「脆弱性=バグ・プログラムの欠陥だけ」は誤り。人的・組織的・物理的な弱点もすべて脆弱性です。
🧠 確認クイズ
Q1. 情報セキュリティにおける「脅威」の例として正しいのは?
Q2. ゼロデイ脆弱性の説明として正しいのは?
Q3. リスクを低下させる方法として正しいのは?