最終更新日:2026年5月7日
sg sg-security-overview threat_vulnerability risk_assessment isms
まず結論
脅威とは、情報資産に損害を与える可能性がある事象の原因です。
SG試験では、脅威そのものを問うだけでなく、脅威・脆弱性・リスク・リスク対応を切り分けられるかがよく問われます。
判断の軸はシンプルです。
- 脅威:害を起こす原因
- 脆弱性:害を受けやすくする弱点
- リスク:脅威が脆弱性を突いて損害が起きる可能性
たとえば、マルウェア、なりすまし、内部不正、停電、地震などは、情報資産に被害を与える原因になり得るため、脅威として扱います。
直感的な説明
脅威は、家で考えると泥棒・火事・台風のようなものです。
家に鍵がない、窓が割れている、火災報知器がないといった弱点は、脅威そのものではなく脆弱性です。
つまり、次のように考えると整理しやすくなります。
| 観点 | 家の例 | 情報セキュリティの例 |
|---|---|---|
| 守りたいもの | 家財 | 顧客情報、業務データ、システム |
| 脅威 | 泥棒、火事、台風 | マルウェア、不正アクセス、停電 |
| 脆弱性 | 鍵がない、窓が弱い | パスワードが弱い、修正パッチ未適用 |
| リスク | 盗難や火災で損害が出る可能性 | 情報漏えい、改ざん、業務停止の可能性 |
ポイントは、脅威は外から来る攻撃だけではないことです。
自然災害、機器故障、操作ミス、内部不正も、情報資産に損害を与える原因になれば脅威です。
定義・仕組み
情報セキュリティの文脈では、脅威は「システムまたは組織に損害を与える可能性があるインシデントの潜在的な原因」と考えます。
SG試験では、脅威を単独で暗記するより、リスクが生まれる流れで押さえると選択肢を切りやすくなります。
情報資産がある
↓
脅威が存在する
↓
脆弱性がある
↓
損害が発生する可能性がある
↓
リスクとして評価する
たとえば、次のような流れです。
| 流れ | 例 |
|---|---|
| 情報資産 | 顧客情報を保存したサーバ |
| 脅威 | 不正アクセスを試みる攻撃者 |
| 脆弱性 | 古いソフトウェアを使っている |
| リスク | 顧客情報が漏えいする可能性 |
| 対策 | 修正パッチ適用、アクセス制御、監視 |
IPAの情報セキュリティマネジメント試験でも、科目Aの重点分野として「脅威、脆弱性、サイバー攻撃手法」などが示されています。出題範囲を確認する場合は、IPAの情報セキュリティマネジメント試験 出題内容 が参考になります。
脅威の代表例は、次のように整理できます。
| 種類 | 例 | 覚え方 |
|---|---|---|
| 意図的な脅威 | 不正アクセス、マルウェア、標的型攻撃、内部不正 | 誰かが意図して行う |
| 偶発的な脅威 | 操作ミス、設定ミス、メール誤送信 | 悪意はないが損害につながる |
| 環境的な脅威 | 地震、火災、停電、機器故障 | 人の操作以外で起きる |
SG試験では「攻撃者が行うものだけが脅威」と考えると危険です。
どんな場面で使う?
脅威という言葉は、主にリスクアセスメントで使います。
リスクアセスメントでは、まず守るべき情報資産を洗い出し、その情報資産に対してどのような脅威があるかを考えます。
たとえば、部門で顧客情報を扱う場合は、次のように考えます。
| 情報資産 | 考える脅威 | 関係する脆弱性の例 |
|---|---|---|
| 顧客名簿 | メール誤送信 | 宛先確認ルールがない |
| 社内ファイルサーバ | 不正アクセス | 権限設定が広すぎる |
| 業務用PC | マルウェア感染 | OSやソフトが未更新 |
| 紙の申込書 | 紛失・盗難 | 施錠管理が不十分 |
| 業務システム | 停電・障害 | バックアップや復旧手順がない |
ここで大切なのは、脅威だけを見ても対策は決めきれないことです。
同じ「マルウェア感染」という脅威でも、パッチ管理ができている環境と、古いOSを使い続けている環境では、リスクの大きさが変わります。
そのため、SG試験では次のような判断が重要です。
- 脅威を見つける
- 脆弱性を確認する
- 影響の大きさを考える
- リスクとして評価する
- 対策を選ぶ
選択肢で「情報資産に内在して、リスクを顕在化させる弱点」とあれば、それは脅威ではなく脆弱性です。
よくある誤解・混同
脅威と脆弱性の違い
一番混同しやすいのが、脅威と脆弱性です。
| 用語 | 意味 | 例 |
|---|---|---|
| 脅威 | 損害を起こす原因 | 攻撃者、マルウェア、停電、誤操作 |
| 脆弱性 | 損害を受けやすくする弱点 | パッチ未適用、弱いパスワード、教育不足 |
試験では、次のように切り分けます。
- 「原因」「事象」「攻撃」「災害」「不正」なら、脅威の可能性が高い
- 「弱点」「欠陥」「設定不備」「未対策」なら、脆弱性の可能性が高い
脅威とリスクの違い
脅威は、まだ損害の可能性そのものではありません。
リスクは、脅威が脆弱性を突いて、情報資産に損害が発生する可能性です。
| 用語 | 試験での見方 |
|---|---|
| 脅威 | 何が害を起こすか |
| リスク | その結果、どのような損害が起きる可能性があるか |
たとえば「ランサムウェア」は脅威です。
一方で「業務ファイルが暗号化され、業務が停止する可能性」はリスクです。
脅威とリスク保有の違い
リスク保有は、リスク対応の一つです。
「対策に費用をかけず、リスクを許容する選択」といった説明が出てきたら、それは脅威ではなくリスク保有です。
脅威と残存リスクの違い
残存リスクは、対策をしても残るリスクです。
「リスク対策を適用しても解消しきれず残るリスク」とあれば、それは脅威ではなく残存リスクです。
SG試験では、次のようなひっかけに注意します。
| 選択肢の表現 | 判断 |
|---|---|
| 情報資産に害をもたらすおそれのある事象の原因 | 脅威 |
| 情報資産に内在する弱点 | 脆弱性 |
| 損害が発生する可能性 | リスク |
| 対策をしても残るリスク | 残存リスク |
| あえて受け入れるリスク対応 | リスク保有 |
まとめ(試験直前用)
脅威は、情報資産に損害を与える原因です。
試験直前は、次の3点で切り分けましょう。
- 原因を説明しているなら、脅威
- 弱点を説明しているなら、脆弱性
- 損害が起きる可能性を説明しているなら、リスク
脅威は、攻撃者やマルウェアだけではありません。
操作ミス、内部不正、停電、災害なども、情報資産に損害を与える原因であれば脅威です。
SG試験では「これは攻撃かどうか」ではなく、情報資産に害を与える原因かどうかで判断すると、選択肢を切りやすくなります。
🔗 関連記事
- AESとは?鍵長とラウンド数も押さえる共通鍵暗号【SG試験】
- 情報資産台帳とは?リスク管理の出発点を整理【SG試験】
- 攻撃の事前調査とは?偵察・スキャン・脆弱性探索の流れ【SG試験】
- 攻撃者の種類とは?目的と特徴で整理する【SG試験】
- 認証方式とは?3要素と多要素認証を整理【SG試験】