用語比較
リスク・脅威・脆弱性の違い
脅威 × 脆弱性 = リスク、と一般に表される。脅威は攻撃源、脆弱性は弱点、リスクは両者が結びついた損失可能性。
- 難易度
- 初級
- 想定読者
- ISMS担当・情シス・初心者
- 所要時間
- 約7分
脅威とは
損害を引き起こしうる攻撃源や事象。マルウェア、内部不正、自然災害なども含む。
脆弱性とは
組織やシステムが持つ弱点。技術的な不備だけでなく、運用や教育の不足も該当する。
違いの比較表
| 比較軸 | 脅威 | 脆弱性 |
|---|---|---|
| 位置づけ | 外的または事象 | 内的な弱点 |
| 管理 | 脅威インテリで監視 | 診断・パッチ・統制で低減 |
| 評価軸 | 発生確率、攻撃者のモチベ | 存在の有無、深刻度 |
| 関係性 | 脆弱性に作用してリスク化 | 脅威に晒されて初めて顕在化 |
使い分け
- リスク評価では「脅威 × 脆弱性 × 影響度」で優先度を決める
- 脅威インテリで攻撃トレンドを把握し、脆弱性管理に活かす
- 報告書では用語を一貫させ、混同を避ける
よくある誤解
- 脆弱性 = リスク、ではない(脅威が結びつかなければ顕在化しない)
- 脅威があっても脆弱性がなければリスクはない、というのは理論上で実務では緩和統制が必要
- リスクをゼロにできる、というのは誤解
よくある質問
脅威と脆弱性の違いは?
脅威 × 脆弱性 = リスク、と一般に表される。脅威は攻撃源、脆弱性は弱点、リスクは両者が結びついた損失可能性。
脅威とは?
損害を引き起こしうる攻撃源や事象。マルウェア、内部不正、自然災害なども含む。
脆弱性とは?
組織やシステムが持つ弱点。技術的な不備だけでなく、運用や教育の不足も該当する。
脅威と脆弱性はどう使い分ける?
リスク評価では「脅威 × 脆弱性 × 影響度」で優先度を決める 脅威インテリで攻撃トレンドを把握し、脆弱性管理に活かす 報告書では用語を一貫させ、混同を避ける
脅威と脆弱性でよくある誤解は?
脆弱性 = リスク、ではない(脅威が結びつかなければ顕在化しない) 脅威があっても脆弱性がなければリスクはない、というのは理論上で実務では緩和統制が必要 リスクをゼロにできる、というのは誤解