令和8年度 ITパスポート試験 公開問題 問89 解説 情報セキュリティの脅威と脆弱性

この問題は、情報セキュリティマネジメントにおける基本用語の定義を問うものです。

空欄aには「外部から悪い影響を与える存在」を指す言葉、空欄bには「資産そのものが抱える欠陥」を指す言葉が入ります。この定義に従うと、aは脅威、bは脆弱性となり、正解はイです。

脅威と脆弱性、そしてリスク

情報セキュリティにおいて、以下の3つの関係性を理解しておくことは、実務においても試験においても極めて重要です。

・脅威（Threat）：情報資産に対して、望ましくない影響を及ぼす可能性がある原因のこと。例として、サイバー攻撃者、マルウェア、地震や火災などの自然災害、人為的なミスなどが挙げられます。 ・脆弱性（Vulnerability）：情報資産の管理体制やシステム構造において、脅威によって悪用される可能性のある弱点のこと。例として、ソフトの未修正のバグ、パスワードの単純な設定、施錠されていない部屋などが挙げられます。 ・リスク（Risk）：脅威が脆弱性を突くことで、情報資産の価値（機密性、完全性、可用性）が損なわれる可能性のこと。

簡単に言えば、「どこから狙われるか（脅威）」と「どこに隙があるか（脆弱性）」が組み合わさることで、「被害に遭う可能性（リスク）」が発生します。

セキュリティ対策の考え方

この知識は、なぜセキュリティ対策が必要なのかという根本的な考え方に繋がります。

企業などがセキュリティ対策を行う際、すべてのリスクをゼロにすることは不可能です。そのため、まずどのような「脅威」があり、自社にどのような「脆弱性」があるかを洗い出します（リスクアセスメント）。その結果、対策の優先順位を決定します。

例えば、パスワードを複雑にする（脆弱性を補強する）対策や、OSを最新の状態に保つ（脆弱性を塞ぐ）対策は、脅威を完全に排除できない中でも、リスクを許容できる範囲にまで下げるための手段となります。ITパスポート試験では、これらの用語を独立した概念として理解するだけでなく、相互の関係性を意識しておくことが得点アップの鍵となります。

参考リンク

• 情報セキュリティの基礎知識（脆弱性とは）
• リスクマネジメントの考え方（IPA 独立行政法人情報処理推進機構）
• 脆弱性（Wikipedia）