令和7年度 ITパスポート試験 公開問題 問93 解説 情報セキュリティの脅威

脅威を正しく理解しよう

この問題は、情報セキュリティにおける基本的な用語の定義を問うものです。正解は「情報資産に損害を与える原因となるもの」です。他の選択肢がなぜ不正解なのか、そしてなぜこれが正解なのかを理解することが、合格への鍵となります。

用語の整理：脅威、脆弱性、リスク

情報セキュリティの学習において、これらの用語はしばしば混同されがちですが、それぞれ明確な定義があります。

• 脅威（Threat）: 情報資産に損害を与える可能性のある、原因そのものを指します。具体的には、悪意のある攻撃者（ハッカー）、ウイルス、マルウェア、不正アクセス、あるいは自然災害（地震、火災）、システムの故障なども脅威となり得ます。
• 脆弱性（Vulnerability）: 情報システムや組織の弱点や欠陥のことです。例えば、ソフトウェアのバグ、設定ミス、パスワード管理の甘さ、従業員のセキュリティ意識の低さなどが脆弱性に該当します。脅威がこの脆弱性を悪用することで、情報資産への被害が発生します。
• リスク（Risk）: 脆弱性が存在し、そこに脅威が加わった場合に、情報資産が被害に遭う確率と、その被害の大きさの組み合わせを指します。つまり、「脅威 × 脆弱性 × （被害の大きさ）」というイメージです。リスクは、脅威と脆弱性の両方が存在しないと発生しません。

選択肢の検討

この整理を踏まえて、各選択肢を見てみましょう。

• 攻撃者が付け込むことのできる情報システムの弱点 これは「脆弱性」の定義に該当します。脅威そのものではありません。
• 情報資産が被害に遭う確率と被害規模の組合せ これは「リスク」の定義に該当します。脅威そのものではありません。
• 情報資産に損害を与える原因となるもの これは「脅威」の定義に合致しています。攻撃者や災害などがこれにあたります。
• 情報システムの弱点を利用した攻撃によって被害を受ける可能性 これは「リスク」の概念に近いですが、より具体的には「脅威が脆弱性を悪用した場合に発生しうる状況」を示唆しています。しかし、「原因そのもの」を指す脅威の定義としては、上記の正解肢がより直接的かつ正確です。

なぜこの知識が重要なのか？

情報セキュリティ対策を効果的に行うためには、まず何が「脅威」で、何が「脆弱性」で、それが組み合わさったときにどのような「リスク」が生じるのかを正確に理解することが不可欠です。

例えば、企業が最新のウイルス対策ソフトを導入することは、マルウェアという「脅威」に対する対策です。しかし、もしそのウイルス対策ソフトに設定ミス（「脆弱性」）があれば、脅威を完全に防ぐことはできません。また、万が一攻撃された場合に、どの情報資産がどれくらいの被害を受ける可能性があるのか（「リスク」）を評価することで、優先順位をつけて対策を講じることができます。

この問題は、情報セキュリティの学習の第一歩として、これらの基本的な概念を正しく把握できているかを確認するためのものです。ITパスポート試験では、このような基礎知識を問う問題が多数出題されますので、用語の定義を正確に覚えることが合格への近道となります。

参考リンク

• 【ITパスポート】令和6年度秋期試験新傾向対策！頻出用語を徹底解説！(問93～95)
• ITパスポート試験 頻出！情報セキュリティ用語集 ～脅威・脆弱性・リスク～
• 情報セキュリティ > 脅威と脆弱性