ITパスポート過去問 令和7年度(2025年)問93
情報セキュリティにおける脅威の説明として,適切なものはどれか。
選択肢
- ア:攻撃者が付け込むことのできる情報システムの弱点
- イ:情報資産が被害に遭う確率と被害規模の組合せ
- ウ:情報資産に損害を与える原因となるもの
- エ:情報システムの弱点を利用した攻撃によって被害を受ける可能性
- ア
- イ
- ウ
- エ
正解と解き方・学習ポイント(AI解説)
脅威とは、情報資産に損害を与える原因となるものです。例えば、不正アクセス、マルウェア感染、盗難、火災などが該当します。一方、情報システムの弱点は脆弱性であり、損害の起こりやすさや影響の大きさまで含めて表す場合はリスクとして整理します。
Point
この問題のねらいは、情報セキュリティの基本用語である「脅威」を定義どおりに説明できるかを確認することです。あわせて、似た表現になりやすい「脆弱性(弱点)」と「リスク(可能性や確率と影響の組合せ)」を区別できることが求められます。
解くために必要な知識
この問題を解くには、情報セキュリティにおける「脅威」「脆弱性」「リスク」の定義と関係の理解が必要です。
用語の整理
| 用語名 | 意味 | 例 |
|---|---|---|
| 脅威 | 情報資産に損害を与える原因となるものです。 | 不正アクセス、マルウェア、盗難、火災、地震 |
| 脆弱性 | 情報システム(または運用)に存在する弱点や欠陥です。脅威に付け込まれる要因になります。 | 未修正のOS、弱いパスワード、設定ミス |
| リスク | 脅威が脆弱性を突いて損害が発生する可能性や、発生した場合の影響の大きさも含めた捉え方です。試験では「確率と被害規模の組合せ」として扱われます。 | 「感染する確率は低いが、感染したら被害が大きい」など |
他の選択肢に出てくる用語
| 用語名 | 意味 |
|---|---|
| 情報資産 | 価値のある情報や、それを扱うために重要なデータ、文書、媒体などです。 |
| 情報システム | 情報の収集、処理、保存、伝達を行う仕組みの全体です。 |
問題の解法手順
各選択肢の整理
| 選択肢 | 内容 | 該当する用語 | 正誤 |
|---|---|---|---|
| ア | 攻撃者が付け込むことのできる情報システムの弱点 | 脆弱性 | ✕ |
| イ | 情報資産が被害に遭う確率と被害規模の組合せ | リスク | ✕ |
| ウ | 情報資産に損害を与える原因となるもの | 脅威 | ○ |
| エ | 情報システムの弱点を利用した攻撃によって被害を受ける可能性 | リスク | ✕ |
解答の決め方
1. 「原因」か「弱点」か「可能性」かを見分けます
-
「原因となるもの」は脅威です。
-
「弱点」は脆弱性です。
-
「被害の可能性」や「確率と規模の組合せ」はリスクです。
2. 「原因となるもの」に一致する選択肢を選びます
「情報資産に損害を与える原因となるもの」とある「ウ」が脅威なので正解です。
選択肢ごとの解説
- ア:不正解
「攻撃者が付け込むことのできる情報システムの弱点」は、脆弱性の説明です。脆弱性は、設計上の欠陥、設定ミス、更新プログラム未適用などの弱点を指します。
- イ:不正解
「情報資産が被害に遭う確率と被害規模の組合せ」は、リスクの評価の考え方です。一般にリスクは、発生確率と影響度(被害規模)の組合せで捉えます。
- ウ:正解
「情報資産に損害を与える原因となるもの」は、脅威の定義です。脅威には、マルウェアや不正アクセスのような人為的なものだけでなく、地震・火災のような自然災害、人的ミスも含まれます。
- エ:不正解
「情報システムの弱点を利用した攻撃によって被害を受ける可能性」はリスクの説明です。脆弱性という弱点に、脅威(攻撃など)が作用した結果として損害が起こり得る、という内容です。
まとめ
脅威とは、情報資産に損害を与える原因となるものです。例えば、不正アクセス、マルウェア感染、盗難、火災などが該当します。一方、情報システムの弱点は脆弱性であり、損害の起こりやすさや影響の大きさまで含めて表す場合はリスクとして整理します。
テクノロジ系 > 技術要素 > セキュリティ
「攻撃者が付け込むことのできる情報システムの弱点」は、脆弱性の説明です。脆弱性は、設計上の欠陥、設定ミス、更新プログラム未適用などの弱点を指します。
「情報資産が被害に遭う確率と被害規模の組合せ」は、リスクの評価の考え方です。一般にリスクは、発生確率と影響度(被害規模)の組合せで捉えます。
「情報資産に損害を与える原因となるもの」は、脅威の定義です。脅威には、マルウェアや不正アクセスのような人為的なものだけでなく、地震・火災のような自然災害、人的ミスも含まれます。
「情報システムの弱点を利用した攻撃によって被害を受ける可能性」はリスクの説明です。脆弱性という弱点に、脅威(攻撃など)が作用した結果として損害が起こり得る、という内容です。