読み方 : きょうい
脅威【threat】
脅威とは?
脅威は発生原因によって「技術的脅威」「物理的脅威」「人的脅威」の三つに大別される。技術的脅威は、マルウェアやDoS攻撃のように、ソフトウェアの欠陥や設定の不備を狙った攻撃を指す。物理的脅威は、地震や火災、停電による機器の損壊や、オフィスへの不正侵入による機器の盗難や破壊などが該当する。人的脅威は、従業員による誤操作やデータの持ち出し、外部からのソーシャルエンジニアリングやフィッシング詐欺など、人間の行動や心理に起因するものである。
脅威は「脆弱性」と区別して用いられる概念である。脆弱性とはシステムや運用上の弱点であり、脅威はその弱点を利用して被害を与える側の要因を指す。例えば、オペレーティングシステム(OS)に未修正の欠陥が存在する状態は脆弱性であり、それを悪用して侵入する攻撃者や攻撃コードが脅威である。脅威が存在しても脆弱性がなければ被害には至らず、逆に脆弱性があっても脅威が現れなければ問題は表面化しない。リスク管理ではこの二つを切り離して評価することが基本とされる。
脅威を分析する際には、どの資産が対象か、どのような経路で被害が発生するか、影響の規模はどの程度かを整理する。想定される脅威を洗い出し、発生可能性と影響度を評価した上で対策を決定するプロセスが一般的である。外部からの侵入にはファイアウォールや認証強化、マルウェアにはウイルス対策ソフトや監視システム、内部不正にはアクセス権限の制限や操作記録の保存といったように対策を講じる。技術面だけでなく、運用管理や物理的な保護も対策の範囲に含まれる。
関連用語
資格試験などの「脅威」の出題履歴
▼ ITパスポート試験
【令7 問93】 情報セキュリティにおける脅威の説明として,適切なものはどれか。
【平30秋 問67】 情報資産に対するリスクは、脅威と 脆 ぜい 弱性を基に評価する。脅威に該当するものはどれか。
【平30秋 問77】 情報セキュリティの脅威に関する説明①〜③と、用語の適切な組合せはどれか。① Webページに、利用者の入力データをそのまま表示するフォーム又は処理があるとき、第三者が悪意あるスクリプトを埋め込み、訪問者のブラウザ上で実行させることによって、cookieなどのデータを盗み出す攻撃② 多数のPCに感染し、ネットワークを介した指示に従ってPCを不正に操作することによって、一斉攻撃などを行うプログラム③ 利用者に有用なプログラムと見せかけて、インストール及び実行させることによって、利用者が意図しない情報の破壊や漏えいを行うプログラム ① ② ③ ア クロスサイトスクリプティング トロイの木馬 ボット イ クロスサイトスクリプティング ボット トロイの木馬 ウ 標的型攻撃 クロスサイトスクリプティング トロイの木馬 エ 標的型攻撃 トロイの木馬 クロスサイトスクリプティング 。
【平28秋 問96】 情報セキュリティにおけるリスクマネジメントに関して、次の記述中の a〜c に入れる字句の適切な組合せはどれか。 情報セキュリティにおいて、組織がもつ情報資産の [ a ] を突く [ b ] によって、組織が損害を被る可能性のことを [ c ] という。
共有ボタンをタップ