ITパスポート 令和7年度 問93：securityに関する問題

答えは c「情報資産に損害を与える原因となるもの」 です。

セキュリティでは似た言葉が3つあります。

• 脅威＝大切な情報に被害を与える“原因”そのもの（ウイルス・地震・盗む人など）
• 脆弱性＝守りの“弱点・すき間”
• リスク＝弱点を突かれて被害が出る“可能性”

cは「損害を与える原因」と言っているので脅威で正解です。

👉 覚え方：脅威＝おそってくる“原因”、脆弱性＝こちらの“弱点”、リスク＝やられる“確率”。

ほかの選択肢：a 弱点＝脆弱性／b・d 被害の確率＝リスクの説明です。

なぜこれが正解か

正解は c。脅威（threat）とは、情報資産に損害を与える原因となるもの（不正アクセス、マルウェア、災害、人為ミスなど）。脆弱性（弱点）を突いて損害を発生させる“源”を指す。

各選択肢の解説

• a「攻撃者が付け込める弱点」：これは脆弱性（ぜいじゃくせい）の説明。
• b「被害に遭う確率と被害規模の組合せ」：これはリスクの説明（リスク＝発生可能性×影響度）。
• d「弱点を利用した攻撃で被害を受ける可能性」：これもリスク側の説明。

覚え方・ひっかけ注意

3語の関係を式で：リスク ＝ 脅威 × 脆弱性（×情報資産の価値）。脅威＝原因、脆弱性＝弱点、リスク＝起こりうる被害の見込み。設問が「原因」と言えば脅威、「弱点」なら脆弱性、「可能性・確率」ならリスク。

理論的背景

情報セキュリティにおける「脅威（Threat）」「脆弱性（Vulnerability）」「リスク（Risk）」の三概念の区別は、JIS Q 27000（ISO/IEC 27000：ISMSの用語と定義）に明確に定義されており、正解はcの「情報資産に損害を与える原因となるもの」が脅威の正確な定義である。

三概念の定義を詳述する。脅威（Threat）：「システムまたは組織に損害を与える可能性がある、望ましくないインシデントの潜在的な原因」（JIS Q 27000：3.74）。具体例：マルウェア・不正アクセス・内部不正・自然災害・ハードウェア障害等。重要なのは脅威は「損害を与える原因」であり、確率や影響度は含まない概念である。脆弱性（Vulnerability）：「脅威によって悪用される可能性がある、資産または管理策の弱点」（JIS Q 27000：3.77）。選択肢aが脆弱性の定義に相当する（攻撃者が付け込むことのできる弱点）。リスク（Risk）：「目的に対する不確かさの影響」であり、脅威が脆弱性を悪用して損害が発生する可能性（確率×影響度）として表現される。選択肢bの「確率と被害規模の組合せ」・選択肢dの「可能性（Likelihood）」がリスクの定義に近い表現である。

リスク方程式：リスク＝脅威×脆弱性×資産価値、という形で表現されることが多く、脅威・脆弱性・資産価値を個別に評価した上でリスクを算定するリスクアセスメントが実施される。

実務での使われ方

脅威・脆弱性・リスクの三分類は情報セキュリティリスクアセスメントの基本フレームワークとして、ISMS認証・システム開発のセキュリティ設計・IT監査において日常的に使用される。

実務でのリスクアセスメントのプロセス：情報資産の識別・価値評価→脅威の識別（どのような攻撃・災害が考えられるか）→脆弱性の識別（どのような弱点があるか）→リスクの評価（脅威が脆弱性を悪用する確率×影響度）→リスク対応策の選択→残留リスクの確認。

クラウドとオンプレミスでの脅威の違い：クラウドサービス利用では、従来のオンプレミスにはなかった脅威（アカウント乗っ取り・設定ミスによる公開・供給者リスク）が追加される。AWS・Azure・GCPは「共有責任モデル」でプロバイダーとユーザーの責任範囲を明確にしており、ユーザー側の設定ミス（S3バケットの誤った公開設定等）が実際の情報漏洩事故の主因の一つとなっている。

試験での位置づけ

情報セキュリティの三概念（脅威・脆弱性・リスク）の区別はITパスポートのセキュリティ分野で安定して出題される最重要知識の一つである。本問は「脅威の定義を4つの説明から選ぶ」という直接的な形式であり、各概念の定義を正確に記憶していれば確実に正答できる。誤答パターンとして「選択肢a（脆弱性）と選択肢c（脅威）を混同」するケースが最も多い。「脅威＝原因」「脆弱性＝弱点」「リスク＝確率×影響」という三つのキーワードで区別することが効果的な記憶法である。

基本情報技術者試験では、JIS Q 27000の正確な用語定義・リスクアセスメントの定量的手法（ALE=SLE×ARO）・定性的手法（5×5リスクマトリクス）・ISO/IEC 27005のリスク処理オプション（低減・回避・移転・保有）まで出題される。情報処理安全確保支援士試験ではNIST CSF（Cybersecurity Framework）・MITRE ATT&CK・STRIDEモデル（脅威モデリング手法：Spoofing/Tampering/Repudiation/Information Disclosure/Denial of Service/Elevation of Privilege）まで踏み込んだ知識が求められる。

選択肢の発展補足

選択肢aの「攻撃者が付け込むことのできる情報システムの弱点」は脆弱性の定義であり、CVE（Common Vulnerabilities and Exposures：共通脆弱性識別子）データベースに登録される脆弱性がこれに相当する。脆弱性の種類には「技術的脆弱性（ソフトウェアのバグ・設定ミス）」「組織的脆弱性（手順の不備・セキュリティ意識の低さ）」「物理的脆弱性（施錠なし・監視なし）」がある。選択肢bの「確率と被害規模の組合せ」はリスクの説明として近い表現だが、より正確にはリスク＝「目的に対する不確かさの影響（ISO 31000）」であり、確率×影響度として定量化される。選択肢dの「攻撃によって被害を受ける可能性」もリスクの説明であり、bとdの違いはリスクを「事象の組合せ」として表現するか「被害の可能性（Likelihood）」として表現するかという視点の違いである。ISO 31000やJIS Q 27000ではリスクを「確率と結果の組合せ」として定義しており、bがより正確に近いが、いずれも脅威の定義ではない。