問題
問93
情報セキュリティにおける脅威の説明として、適切なものはどれか。
- 攻撃者が付け込むことでできる情報システムの弱点
- 情報資産が被害に遭う確率と被害規模の組合せ
- 情報資産に損害を与える原因となるもの
- 情報システムの弱点を利用した攻撃によって被害を受ける可能性
[出典:ITパスポート試験 令和7年度 問93]
スポンサーリンク
正解
正解は「ウ」です。
解説
「脅威(Threat)」とは、情報資産に対して損害を与えるおそれのある事象や要因のことを指します。これは自然災害や人為的な攻撃など、広範なものが含まれます。
問題文では「情報セキュリティにおける脅威の説明として適切なもの」を問うており、正解である「ウ」の「情報資産に損害を与える原因となるもの」が最も定義に合致しています。
たとえば、地震によってサーバが損傷する、またはウイルスに感染することでデータが破壊されるといった状況は、いずれも「情報資産に損害を与える原因」としての脅威に該当します。日常的な例では、泥棒(攻撃者)が家(システム)に侵入しようとする「その行為」や「災害そのもの」が“脅威”にあたります。
一方で、選択肢アは「脆弱性」、イは「リスク」、エは「リスクの顕在化による被害の可能性(リスクの結果)」であり、脅威そのものの説明ではありません。
ア(攻撃者が付け込むことのできる情報システムの弱点):
これは「脆弱性(Vulnerability)」の定義です。脅威が利用する対象であり、脅威そのものではありません。
イ(情報資産が被害に遭う確率と被害規模の組合せ):
これは「リスク(Risk)」の定義です。脅威とは別概念で、脅威や脆弱性の影響を定量的に評価したものです。
エ(情報システムの弱点を利用した攻撃によって被害を受ける可能性):
これは「リスクが顕在化した結果」を表しており、脅威の定義とは異なります。
難易度
本問題は、情報セキュリティの基本用語「脅威」「脆弱性」「リスク」の違いを正しく理解しているかを問う典型的な用語問題です。これらの用語の混同は初心者にありがちな誤りですが、セキュリティの基礎理解には非常に重要な概念です。
スポンサーリンク
用語補足
脅威(Threat):
情報資産に損害を与えるおそれのある存在や行為を指します。例としては、地震、火災、サイバー攻撃、不正アクセスなどがあります。
脆弱性(Vulnerability):
情報システムや組織の持つセキュリティ上の弱点のことです。例として、パスワードが簡単すぎる、ソフトの更新がされていないなどがあります。
対策
情報セキュリティにおける基本用語「脅威」「脆弱性」「リスク」の定義と違いを正確に理解することが重要です。用語を丸暗記するだけでなく、身近な事例や図解などと関連付けて覚えると、実務や他の問題でも応用しやすくなります。
