問題
テクノロジ系
問93 情報セキュリティにおける脅威の説明として,適切なものはどれか。
選択肢
- ア攻撃者が付け込むことのできる情報システムの弱点
- イ情報資産が被害に遭う確率と被害規模の組合せ
- ウ情報資産に損害を与える原因となるもの
- エ情報システムの弱点を利用した攻撃によって被害を受ける可能性
解説
正解:ウ
概要
この問題は、情報セキュリティにおける「脅威(Threat)」の意味を理解しているかを問うものです。脅威とは、情報資産に損害や被害を与える原因となる事象や要因を指します。
正解の理由
脅威とは、情報資産に損害を与える原因となるものを意味します。例えば、マルウェア、不正アクセス、自然災害などが該当します。したがって「情報資産に損害を与える原因となるもの」と説明している選択肢が正しいです。
各選択肢の解説
ア(×): 攻撃者が付け込むことのできる情報システムの弱点は「脆弱性」を指します。脅威ではなく、攻撃される原因となるシステム側の弱点を説明しているため誤りです。
イ(×): 情報資産が被害に遭う確率と被害規模の組合せは「リスク」の定義です。脅威そのものではなく、被害が発生する可能性を評価する概念であるため誤りです。
ウ(〇): 情報資産に損害を与える原因となるものは「脅威」の定義です。マルウェアや不正アクセス、災害などのように情報資産へ被害を与える可能性のある要因を指すため正しいです。
エ(×): 情報システムの弱点を利用した攻撃によって被害を受ける可能性は「リスク」の説明です。脅威そのものではなく、被害が発生する可能性を示す概念であるため誤りです。
ポイント
情報セキュリティでは「脅威=被害の原因」「脆弱性=弱点」「リスク=被害の可能性」と整理して覚えることが重要です。