本文へスキップ

TOP > 脅威・脆弱性・リスク 言葉の定義

TEL. 03-5719-5723

〒141-0031 東京都品川区西五反田3-14-4-4F

脅威・脆弱性・リスク 言葉の定義脅威・脆弱性・リスク 言葉の定義

脅威と脆弱性とリスク

ITセキュリティの世界では、脅威と脆弱性とリスクという言葉がよく使われます。
たまにこの3つの言葉の混同、誤用があるように思われますので説明します。


大辞林による3つの言葉の意味

脅威
脅かすこと。また、脅かされ、脅されることで感じるおそれ。
「…を感ずる」「…を与える」「平和と安全の維持を…するもの」
脆弱性
傷つけられやすいこと。
リスク
予測できない危険「…が大きい」
損害を受ける可能性

株式会社ENNAが定義する3つの言葉の意味

脅威
脅威は何らかの損害の可能性の発生する事象です。

脅かすという言葉からも心理的な側面が含まれます。
自分の家で例えるなら、地震や泥棒等が脅威といえるでしょう。
脆弱性
脆弱性はコンピュータや仕組みに存在する欠陥です。

家で例えるなら、壊れた窓や簡単な鍵しかついていないドア、転倒処理をしていない家具、家屋の構造上の問題などです。
脆弱性は人に起因する場合もあります。
例えば、鍵を締め忘れる、ストーブの消し忘れなどです。
リスク
リスクは損害を受ける可能性です。

リスクは数式で考えることができます。
掛け算や足し算で表現できます。
発生可能性x影響範囲や、発生可能性+影響範囲です。
(他にも計算方法はあります)。

実際のコンピュータシステムにおいては、脅威と脆弱性を洗い出し、その影響範囲、発生可能性等を考慮し、リスクを明確にすることが重要となります。そして、そのリスクに対して、取り除く排除、可能性や影響範囲を減らす低減、場合によっては受容する等の対策を実施していきます。


リスクの詳細

「リスク」という単語が使われるパターン。

1. 望ましくない事象そのもの
2. 望ましくない事象が発生する確率
3. 望ましくない事象の影響(被害)の大きさ
4. 望ましくない事象を引き起こす脅威(threat)
5. 望ましくない事象の原因になるかもしれない脆弱性(vulnerability)

上記のパターンが整理されずに使われるために、議論がかみ合わない場合も多いです。

※人によってリスクが意味しているものが異なるため、異なった意味で使っているもの同士では?
※4、5については、望ましくない事象が発生するための、構成要素ではあるが、リスクという言葉を使わないほうがよい。

株式会社ENNAのトレーニングコースでは、下記のように定義し、使用しています。