脅威・脆弱性・リスク 言葉の定義

脅威と脆弱性とリスク

ITセキュリティの世界では、脅威と脆弱性とリスクという言葉がよく使われます。
たまにこの3つの言葉の混同、誤用があるように思われますので説明します。


大辞林による3つの言葉の意味

脅威 脅かすこと。また、脅かされ、脅されることで感じるおそれ。
「…を感ずる」「…を与える」「平和と安全の維持を…するもの」
脆弱性 傷つけられやすいこと。
リスク 予測できない危険「…が大きい」
損害を受ける可能性

株式会社ENNAが定義する3つの言葉の意味

脅威 脅威は何らかの損害の可能性の発生する事象です。
脅かすという言葉からも心理的な側面が含まれます。
自分の家で例えるなら、地震や泥棒等が脅威といえるでしょう。
脆弱性 脆弱性はコンピュータや仕組みに存在する欠陥です。
家で例えるなら、壊れた窓や簡単な鍵しかついていないドア、転倒処理をしていない家具、家屋の構造上の問題などです。
脆弱性は人に起因する場合もあります。
例えば、鍵を締め忘れる、ストーブの消し忘れなどです。
リスク リスクは損害(影響)を受ける可能性です。
リスクは数式で考えることができます。
掛け算や足し算で表現できます。
発生可能性x影響範囲や、発生可能性+影響範囲です。
(他にも計算方法はあります)。

実際のコンピュータシステムにおいては、脅威と脆弱性を洗い出し、その影響範囲、発生可能性等を考慮し、リスクを明確にすることが重要となります。そして、そのリスクに対して、取り除く排除、可能性や影響範囲を減らす低減、場合によっては受容する等の対策を実施していきます。


リスクの詳細

「リスク」という単語が使われるパターン。

  1. 望ましくない事象そのもの
  2. 望ましくない事象が発生する確率
  3. 望ましくない事象の影響(被害)の大きさ
  4. 望ましくない事象を引き起こす脅威(threat)
  5. 望ましくない事象の原因になるかもしれない脆弱性(vulnerability)

上記のパターンが整理されずに使われるために、議論がかみ合わない場合も多いです。

※人によってリスクが意味しているものが異なるため、異なった意味で使っているもの同士では?
※4、5については、望ましくない事象が発生するための、構成要素ではあるが、リスクという言葉を使わないほうがよい。

株式会社ENNAのトレーニングコースでは、上記のように定義し、使用しています。


推奨書籍