平成29年度 春期 ITパスポート試験 公開問題 問60 解説 脅威と脆弱性

情報セキュリティの分野では、脅威と脆弱性を明確に区別することが合格への第一歩です。この問題を解くためのポイントは、その事象が「攻撃者が行うアクション」か「システム側が持つ弱点」かを見極めることです。

脅威とは、情報資産に対して危害を加える外部からの攻撃や自然災害などを指します。一方で、脆弱性とは、その脅威を成功させてしまう原因となる、システムや運用の弱点や隙を指します。

選択肢を分類すると以下のようになります。

ア コンピュータウイルス：攻撃者によって送り込まれる脅威そのものです。 イ ソーシャルエンジニアリング：人間の心理的な隙を突く攻撃手法であり、脅威に分類されます。 ウ 通信データの盗聴：攻撃者が情報を奪おうとする行為であり、脅威です。 エ 不適切なパスワード管理：管理者の運用ルールが甘い、あるいはパスワードが推測されやすい状態にあるという、システムを守る側が抱えている弱点です。

この問題の教育的な意図は、単なる用語の暗記ではなく、情報セキュリティ対策の考え方を理解させることにあります。セキュリティ対策とは「脅威」を直接消すことは困難であるため、自分たち側の「脆弱性」を埋めることで被害を防ぐというアプローチをとります。

例えば、パスワード管理が不適切（脆弱性）であれば、攻撃者（脅威）は容易に侵入できます。逆に、強固なパスワード設定や多要素認証を導入することで脆弱性を解消すれば、攻撃者が現れても情報を守ることができます。現場の仕事においても、システムの設定ミスや古いソフトの放置といった脆弱性を放置することが、いかにリスクを高めるかを直感的に理解しておくことが重要です。

情報セキュリティの3要素（IPA 独立行政法人情報処理推進機構） https://www.ipa.go.jp/security/about/about_security.html

情報セキュリティの脅威と対策（総務省 国民のための情報セキュリティサイト） https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/index.html