【SG試験】「脅威」と「脆弱性」の違いとは?リスクの正体を見極める

IT資格

情報セキュリティマネジメント試験(SG)の学習を進める中で、多くの受験生が最初に突き当たる壁が、似たような専門用語の区別です。特に「脅威」と「脆弱性」、そしてそれらが組み合わさって生じる「リスク」という言葉は、日常会話では混同されがちですが、試験においては明確に使い分ける必要があります。

これらの概念を正確に理解することは、単に用語問題を解くためだけではなく、科目Bで出題される「事例問題」を読み解くための「思考のフレームワーク」を手に入れることを意味します。今回は、これら3つの関係性と、実務で不可欠なリスクマネジメントの考え方を深掘りしていきます。

脅威(Threat)とは「攻撃の主体・原因」

脅威とは、情報資産に対して悪影響を及ぼす外部または内部の要因のことです。 簡単に言えば、「私たちの守るべきもの(情報資産)を壊したり、盗んだり、使えなくしたりしようとする具体的な『原因』」を指します。

SG試験では、脅威をその性質によって大きく3つのカテゴリーに分類します。試験対策としては、それぞれの具体例を頭に入れておくことが重要です。

① 意的脅威(人間による悪意やミス)

もっとも対策が難しく、かつ頻出するのがこのカテゴリーです。

  • 外部からの悪意: サイバー攻撃(マルウェア、不正アクセス、DoS攻撃、フィッシング詐欺など)。
  • 内部からの悪意: 従業員や元従業員による情報の持ち出し、データの改ざん。
  • 過失(ミス): メールの宛先間違い、PCやUSBメモリの紛失、設定操作のミス。

② 物理的脅威(形あるものへの物理的な被害)

  • 自然災害: 地震、落雷、火災、洪水による設備の破壊。
  • 物理的損壊: サーバーの故障、通信回線の切断、記録メディアの劣化。
  • 侵入・盗難: 施設への不法侵入、PCやサーバー本体の持ち去り。

③ 環境的脅威

  • インフラ異常: 長時間の停電、空調故障によるサーバーの過熱、電磁波によるノイズ干渉。

脆弱性(Vulnerability)とは「守りの弱点」

脆弱性とは、情報資産や組織の管理体制に潜む「弱点」や「隙」のことです。 脅威が「外からやってくる敵」だとしたら、脆弱性は「自分たちの内側にあるもろさ」です。

重要なのは、「脆弱性が存在するだけでは、まだ被害は発生していない」という点です。脆弱性はあくまで「隙」であり、そこに「脅威」が付け入ることで初めて問題が起こります。

具体的な脆弱性の例

  • 技術的な弱点: OSやアプリケーションのバグ(修正プログラムが未適用)、脆弱なパスワード設定、不要なサービスの稼働。
  • 物理的な弱点: サーバー室が施錠されていない、退席時にPCをロックしていない、重要書類がそのままゴミ箱に捨てられている。
  • ルール・人的な弱点: セキュリティ規定が形骸化している、従業員の教育が行き届いていない、退職者のアカウントが削除されずに残っている。

【重要】リスク = 脅威 × 脆弱性

SG試験の核心となる考え方が、「リスク = 脅威 × 脆弱性 × 資産の価値」という掛け合わせの方程式です。

よく使われる「泥棒と窓」の例えで整理してみましょう。

  • 脅威: 街に泥棒がいる(自分たちではコントロールできない外部要因)
  • 脆弱性: 家の窓に鍵をかけ忘れている(自分たちで改善できる内部要因)
  • リスク: 泥棒が窓から侵入し、家財道具を盗まれるという「事象の発生確率と影響度」

もし、街に泥棒(脅威)がいたとしても、窓の鍵を二重にかけ、セキュリティシステムを導入していれば(脆弱性がない状態)、リスクは極めて低くなります。 逆に、窓が全開(脆弱性あり)であっても、誰もいない無人島(脅威が存在しない環境)であれば、やはりリスクは顕在化しません。

マネジメントの役割は、自分たちではコントロールできない「脅威」を嘆くことではなく、自分たちで制御できる「脆弱性」をいかに減らすかを考えることにあります。

リスクアセスメントの手順

試験では、リスクを特定し、評価する「リスクアセスメント」の流れも問われます。

  • リスク特定: どのような資産に、どのような脅威と脆弱性が隠れているかを見つけ出す。
  • リスク分析: リスクが「どのくらいの確率で起こるか(頻度)」と「起きたときにどのくらいヤバいか(影響度)」を測定する。
  • リスク評価: 分析結果をあらかじめ決めた「基準」と比較し、対策を打つべき優先順位を決める。

リスクマネジメントの4つの対策(重要ポイント)

特定されたリスクに対して、どのような行動をとるか。SG試験で非常によく問われるのが、以下の4つの区分です。科目Bの事例問題でも、「この対策はどれに該当するか?」という視点が欠かせません。

① リスク低減(Mitigation)

リスクが発生する確率を下げる、または被害の影響を小さくする。もっとも一般的な対策です。

  • 例:ウイルス対策ソフトの導入、ファイアウォールの設置、バックアップの作成。

② リスク回避(Avoidance)

リスクの原因となる活動そのものをやめる、あるいは資産を撤去する。

  • 例:情報の持ち出しを全面的に禁止する、個人情報を収集するサービスを終了する。

③ リスク移転(Transfer) / リスク共有

他者にリスクを肩代わりしてもらう、あるいは分散させる。

  • 例:サイバー保険への加入(金銭的損失の補填)、システムの運用を専門のクラウド業者に委託する(SLAによる責任分担)。

④ リスク保有(Acceptance) / リスク受容

対策コストが想定される被害額より高い場合や、発生確率が極めて低い場合に、あえて何もしない(基準内として受け入れる)。

  • 例:安価な備品の盗難リスクに対して、高額な監視カメラを設置せずに現状維持とする。

まとめ:科目Bで「不備」を見抜くために

今回学んだ「脅威」と「脆弱性」の視点は、SG試験の長文問題(科目B)を解く際の強力な武器になります。

問題文を読んでいると、必ず「現状の運用(脆弱性)」「最近起きた出来事や懸念(脅威)」が描写されています。 「パスワードが初期設定のままである(脆弱性)」ところに「外部からのログイン試行が増えている(脅威)」という記述があれば、そこがまさに「リスク」の正体であり、設問の正解が隠されている場所です。

次回の記事では、今回分類した「脅威」の中でも、特に対策が急務となっている「マルウェア(ウイルス)」「巧妙化するサイバー攻撃手法」について、詳しく掘り下げていきます。

一歩ずつ、セキュリティの「型」を身につけていきましょう!

コメント