問題
問89
情報セキュリティに関する次の記述中の a, b に入れる字句の適切な組合せはどれか。
守るべき情報資産に対して望ましくない影響を及ぼす可能性のある原因のことを[ a ]といい,情報資産自身の価値を損なう可能性をもつ弱点のことを[ b ]という。
- 上記表の「ア」
- 上記表の「イ」
- 上記表の「ウ」
- 上記表の「エ」
[出典:ITパスポート試験 令和8年度 問89]
正解
正解は「イ」です。
解説
正解は選択肢イの「a 脅威, b 脆弱性」です。情報セキュリティを学ぶ上で、この二つの用語の区別は非常に重要です。まず「脅威(きょうい)」とは、私たちの守るべきデータやシステムなどの情報資産に対して、悪影響を及ぼす「外部または内部の原因」そのものを指します。
具体的には、コンピュータウイルス、ハッカーによるサイバー攻撃、さらには地震や火災といった自然災害もすべて「脅威」に分類されます。一方で「脆弱性(ぜいじゃくせい)」とは、情報資産やシステム自体が抱えている「弱点」や「セキュリティ上の欠陥」のことです。例えば、OSの更新を忘れて修正プログラムが適用されていない状態や、パスワードが単純で破られやすい状態、あるいはオフィスの鍵が開けっ放しになっている状態などがこれに当たります。
日常生活で例えると、家を狙う「泥棒」が「脅威」であり、その家の「窓の鍵が壊れている」という状態が「脆弱性」です。泥棒という原因(脅威)が、鍵が壊れているという弱点(脆弱性)を突くことで、初めて空き巣被害という実害が発生します。試験では「原因=脅威」「弱点=脆弱性」というキーワードの結びつきを覚えておけば、迷わず正解を導き出せます。このように、外部からの攻撃要因と内側の守りの薄さを分けて考えることがセキュリティ対策の第一歩となります。
したがって、aに脅威、bに脆弱性が入る組み合わせが正解です。
ア(a インシデント, b リスク):
インシデントは「事故や事件そのもの」を指し、リスクは「損害が発生する可能性の度合い」を指す言葉であるため、定義が異なります。
ウ(a 脆弱性, b インシデント):
脆弱性は「弱点」であり、aの「原因」には当てはまりません。またインシデントは発生した事象を指すため、bの「弱点」の定義とは合いません。
エ(a リスク, b 脅威):
リスクは「脅威 × 脆弱性」によって生じる可能性の結果であり、脅威はaに該当すべき言葉であるため、配置が逆で不適切です。
難易度
ITパスポート試験のセキュリティ分野において最も基本的かつ重要な用語定義を問う問題です。IT未経験の方でも、「脅威=悪い人や災害(外敵)」、「脆弱性=自分たちの弱み(内情)」というイメージを掴むだけで解くことができます。言葉の意味さえ覚えていれば、計算も複雑な読解も不要なため、確実に得点したいサービス問題と言えます。
用語補足
脅威:
情報資産に悪影響を与える直接的な要因です。例えば、大切なデータを盗もうとする「ハッカー」や、パソコンを壊す「落雷」などがこれに当たります。
脆弱性:
システムや管理体制にある弱点のことです。例えば、「最新のセキュリティソフトを入れていない」ことや「パスワードを付箋に書いて貼っている」状態のことです。
リスク:
脅威が脆弱性を利用して、損害が発生する可能性のことです。「古い鍵を使っている(弱点)せいで、泥棒(脅威)に入られるかもしれない危険」を指します。
インシデント:
セキュリティ上の事件や事故が発生した状態、またはその予兆のことです。例えば「実際にウイルスに感染した」「サーバーが攻撃で止まった」という事件そのものです。
対策
対策としては、情報セキュリティの基本単語を「相関図」で覚えることが有効です。「脅威(外敵)」が「脆弱性(弱点)」を突くと「リスク(危険)」が高まり、実際に何かが起きると「インシデント(事件)」になる、という流れを理解しましょう。特に問題文の中に「原因」という言葉があれば「脅威」、「弱点」という言葉があれば「脆弱性」というキーワードを探す癖をつけると、得点率が安定します。
