平成30年度 秋期 ITパスポート試験 公開問題 問67 解説 情報資産のリスクと脅威

情報セキュリティのリスク評価において、脅威とは外部から降りかかる「原因」や「事象」を指し、脆弱性とはシステム側にある「弱点」や「不備」を指すと整理すれば正解を導き出せます。この問題では、落雷という外部からの事象が脅威に該当します。

情報セキュリティにおけるリスク評価の基本式は「リスク ＝ 脅威 × 脆弱性 × 資産価値」と考えることができます。ここでいう「脅威」とは、攻撃者が悪意を持って行うハッキングやウイルス感染だけでなく、地震、火災、停電といった自然災害や事故なども含めた、資産に損害を与える可能性のあるあらゆる事象のことです。

一方、選択肢のア、イ、ウはすべてシステムや組織が抱える「管理上の不備」や「構造上の弱点」です。これらは、もし脅威（攻撃者や自然災害）が発生した際に、被害をより大きくしたり、発生しやすくしたりする要素であるため「脆弱性」に分類されます。

試験では「これは脅威か、それとも脆弱性か」を問う問題が頻出します。判別のコツは、その事象を「防ぐべき対象（攻撃や事故）」と捉えるか、「対策不足の箇所（穴）」と捉えるかで見極めることです。

例えば、ウイルスや不正アクセス、ヒューマンエラーによる操作ミス、そして本問のような自然災害は、組織側がどれだけ対策を練っていても外部から発生しうる事象であるため「脅威」です。対して、パスワードの使い回し、ソフトウェアの更新忘れ、教育不足、物理的な設備（ドアや窓）の管理不備などは、組織側の努力次第で改善できる「脆弱性」にあたります。

実務においても、この区別は非常に重要です。脅威を完全にゼロにすることは不可能ですが、脆弱性を減らすことでリスクを低減させ、被害を最小限に抑えることが情報セキュリティマネジメントの目的となるからです。

• リスクアセスメント（Wikipedia）