情報セキュリティにおける脅威の説明として、適切なものはどれか。
- ア. 攻撃者が付け込むことのできる情報システムの弱点
- イ. 情報資産が被害に遭う確率と被害規模の組合せ
- ウ. 情報資産に損害を与える原因となるもの
- エ. 情報システムの弱点を利用した攻撃によって被害を受ける可能性
【答え】ウ
【解説】
本問は、JIS Q 27000(情報セキュリティマネジメントシステム) に基づいた定義に関して問う問題ですが、正確に覚える必要はありません。「こんな感じのものかな」と何となく理解していればOKです。
各選択肢の解説
ア. 攻撃者が付け込むことのできる情報システムの弱点
→これは脆弱性の定義です。脅威ではなく、「脅威が利用する対象」が脆弱性です。
イ. 情報資産が被害に遭う確率と被害規模の組合せ
→これはリスクレベルの定義です。
ウ. 情報資産に損害を与える原因となるもの
→ ⭕ これは脅威の正しい定義です。
エ. 情報システムの弱点を利用した攻撃によって被害を受ける可能性
→これはリスクの定義で、脅威そのものの定義ではありません。
以上より、正解はウ.となります。
情報セキュリティ1~情報セキュリティの概要とリスクマネジメント~ 
