ITパスポート 令和8年度 問89：securityに関する問題

答えは b（a=脅威, b=脆弱性） です。

家の防犯でたとえます。

• 脅威（きょうい）＝あなたを困らせる“悪い原因”。たとえば『泥棒』や『台風』。外からやってくる危険のことです。
• 脆弱性（ぜいじゃくせい）＝自分側の“弱点・すき”。たとえば『カギが壊れた窓』。

泥棒（脅威）がいても、窓に弱点（脆弱性）が無ければ被害は起きにくい。両方そろうと危ない、というわけです。

👉 覚え方：脅威＝外からの危険、脆弱性＝自分の弱点。

ほかの語：インシデント＝実際に起きた事故／リスク＝被害が起きそうな度合い。

なぜこれが正解か

正解は b。

• 脅威：情報資産に望ましくない影響を及ぼす『原因』（不正アクセス、マルウェア、災害、人的ミスなど）。
• 脆弱性：その脅威につけ込まれる『資産側の弱点』（設定不備、未修正のバグ、教育不足など）。

つまり問題文のa＝脅威、b＝脆弱性が対応する。

各選択肢の解説

• a：インシデント（事故そのもの）とリスクの組合せで不適切。
• b：正しい組合せ。
• c：脆弱性とインシデントが入れ替わっており不適切。
• d：リスクと脅威で、定義が噛み合わない。

覚え方・ひっかけ注意

『脅威（外的原因）×脆弱性（内的弱点）＝リスク（被害の可能性）』という関係式で覚える。リスクは脅威と脆弱性の掛け合わせで生じる結果、インシデントは実際に起きた事象、と段階を分けると混同しない。

理論的背景

情報セキュリティにおける脅威（Threat）と脆弱性（Vulnerability）の定義はISO/IEC 27000（情報セキュリティ管理システムの用語）で標準化されており、本問正解bの「a=脅威、b=脆弱性」がこれらの国際標準定義に直接対応している。

ISO/IEC 27000の定義：脅威（Threat）：「資産またはシステムを損なう可能性を持つ、望ましくないインシデントの潜在的な原因」。脆弱性（Vulnerability）：「脅威によって悪用される可能性のある資産または管理策の弱点」。リスク（Risk）：「脅威が脆弱性を悪用して資産に損害を与える可能性と影響の組み合わせ」。インシデント（Incident）：「情報セキュリティ上の望ましくない事象が実際に発生したもの」。

CVSS（Common Vulnerability Scoring System）フレームワークでは脆弱性を「攻撃可能範囲（Network/Adjacent/Local/Physical）・複雑さ・権限要件・ユーザー操作要否」の基本スコア・時間スコア・環境スコアで定量評価する。CVSSスコア9.0以上は「クリティカル」として最優先対応が必要。脅威は脆弱性の「悪用可能性（Exploitability）」と組み合わさったとき実際のリスクとして顕在化する。

実務での使われ方

情報セキュリティリスクアセスメント（ISMS要求事項）では「資産→脅威→脆弱性→リスク」の分析フローが基本。例：Webサーバ（資産）に対するSQLインジェクション攻撃（脅威）がデータベースの入力検証不備（脆弱性）を悪用して個人情報漏洩（インシデント）が発生し事業損失（リスク顕在化）となる。NVD（National Vulnerability Database：NIST運営）・JVN（Japan Vulnerability Notes：IPA・JPCERT/CC運営）での脆弱性情報公開と対応パッチ適用がリスク管理の実践的活動。OSINT（Open Source Intelligence）を使ったアタックサーフェース分析では、公開情報から自組織の脆弱性を先行して把握するプロアクティブな防御が現代のセキュリティ運用の標準。

試験での位置づけ

脅威・脆弱性・リスク・インシデントの4概念の定義識別はITパスポートのセキュリティ分野で最頻出問題の一つ。本問の穴埋め形式（a・bに入れる字句）は最も出題頻度が高いパターン。混同を防ぐための記憶法：脅威＝「外から来る攻撃者・自然災害・内部不正の源」（能動的・意図的または偶発的な外部要因）。脆弱性＝「自分の中にある弱点」（パッチ未適用・設定不備・プロセス欠陥等の内部的欠点）。リスク＝「脅威が脆弱性を突いたときの被害の大きさ×確率」。インシデント＝「既に発生した事象」。近年のITパスポートではCVSS・CVE・CWE（Common Weakness Enumeration）等の脆弱性管理標準の理解を問う問題も出始めている。基本情報技術者試験ではISO 27005（情報セキュリティリスク管理）・OCTAVE（Operationally Critical Threat Asset and Vulnerability Evaluation）等のリスクアセスメント手法の詳細まで問われることがある。

選択肢の発展補足

選択肢aの「インシデント・リスク」は脅威・脆弱性と比較して「事後性（インシデント）」と「複合概念（リスク）」という違いで区別できる。インシデントが「既に起きた事象」であるのに対し、脅威は「起きる可能性のある原因」という時間軸の違いが重要。選択肢cの「脆弱性・インシデント」は順序が逆（aが脆弱性・bがインシデントの意味）で、原因（脆弱性）と結果（インシデント）の論理的順序を誤った組み合わせ。選択肢dの「リスク・脅威」はリスクを「原因」として、脅威を「弱点」として使っており、双方の定義を入れ替えた誤り。脅威・脆弱性・リスクの三者関係は「リスク＝f(資産価値, 脅威の確率, 脆弱性の深刻度)」という関数として表現でき、このフレームワークを理解することでリスクアセスメントのどの段階で何を評価しているかが直感的に把握できる。具体的なリスク対応戦略（回避・転嫁・軽減・受容）も本問の延長線上の学習トピックとして重要。