// シス担のミカタ
セキュリティの基本概念

脅威 きょうい

リスク脆弱性攻撃者情報セキュリティサイバー攻撃リスクアセスメント
脅威について教えて

簡単に言うとこんな感じ!

「脅威」は、システムや情報に悪いことを引き起こす可能性がある「原因のもと」のことだよ。泥棒・火事・地震・ウイルスみたいに、「それが起きたらヤバいかも…」というものが全部あてはまるんだ!

脅威とは

情報セキュリティの文脈で「脅威(Threat)」とは、情報資産(データ・システム・設備など)に対して損害や被害をもたらす可能性のある原因・要因のことを指します。「攻撃者がパスワードを盗もうとしている」「マルウェアが侵入してくるかもしれない」「大地震でサーバーが壊れるかもしれない」——これらはすべて「脅威」です。

セキュリティ管理を考えるとき、まず「どんな脅威があるか」を洗い出すことが出発点になります。脅威が特定できれば、次に「自社システムにその脅威が刺さる弱点(脆弱性)はあるか」「実際に被害が起きた場合の影響はどれくらいか」を分析でき、対策の優先順位が決まります。これがリスクアセスメントの基本的な流れです。

脅威は「悪意ある人間」だけを指すわけではありません。自然災害・システム障害・操作ミスなど、意図的でないものも含むのが特徴です。「怖いもの」を広く網羅して考えることが、もれのないセキュリティ対策につながります。

脅威の種類と分類

セキュリティの教科書では、脅威は大きく「意図的脅威」「偶発的脅威」「環境的脅威」の3つに分けるのが定番です。

分類意味具体例
意図的脅威人が悪意を持って引き起こすもの不正アクセス・マルウェア・内部不正・フィッシング詐欺
偶発的脅威悪意はないが人や機器の失敗で起きるもの誤操作・設定ミス・紛失・ソフトウェアのバグ
環境的脅威自然現象や物理的な環境に起因するもの地震・洪水・停電・火災

脅威アクターとは?

意図的脅威を引き起こす人や組織を「脅威アクター(Threat Actor)」と呼びます。代表的なアクターは以下のとおりです。

  • サイバー犯罪者:金銭目的でランサムウェアや詐欺を仕掛ける
  • 国家・組織的ハッカー:スパイ活動や社会インフラへの攻撃を行う
  • 内部関係者(内部不正):従業員や元従業員による情報持ち出しなど
  • スクリプトキディ:既存の攻撃ツールを使って遊び半分で攻撃する初心者
  • ハクティビスト:政治・社会的主張のための攻撃を行う集団

覚え方:「脅威・脆弱性・リスク」の違いを整理しよう

3つは混同しやすいので、家の防犯に例えて覚えましょう。

🏠 家の例で理解する「脅威・脆弱性・リスク」

  脅威(Threat)    = 泥棒が近所にいる
  脆弱性(Vulnerability) = 玄関の鍵が壊れている
  リスク(Risk)    = 泥棒に入られる可能性・被害の大きさ

  リスク ≒ 脅威 × 脆弱性 × 影響度
  → 泥棒(脅威)がいても、鍵がしっかりしていれば(脆弱性が低)
    リスクは下がる!

歴史と背景

  • 1970年代:コンピューターの普及とともに、情報資産を守る必要性が認識され始める。初期の脅威は物理的な盗難・破壊が中心だった
  • 1980年代:パソコンの普及により、コンピューターウイルスが出現。最初期のウイルス「Brain」(1986年)が登場し、「マルウェア」という脅威カテゴリが確立される
  • 1990年代:インターネットの商業利用が始まり、不正アクセス・フィッシング詐欺・DoS攻撃など、ネットワーク経由の脅威が急増
  • 2000年代:組織的なサイバー犯罪集団が台頭。「脅威インテリジェンス(Threat Intelligence)」という概念が生まれ、脅威を体系的に収集・分析する動きが始まる
  • 2010年代以降:国家レベルの高度な標的型攻撃(APT: Advanced Persistent Threat)が表面化。IoTデバイスの普及により攻撃対象が爆発的に拡大
  • 現在:AIを悪用した攻撃(ディープフェイク・自動化された攻撃)が新たな脅威として注目されている

脅威・脆弱性・リスクの関係

セキュリティ対策を発注・判断する立場では、「脅威」「脆弱性」「リスク」の三角関係を正確に把握することが重要です。

脅威 Threat 悪いことを引き起こす原因 ・不正アクセス ・マルウェア / 内部不正 脆弱性 Vulnerability 脅威が刺さる弱点・すき間 ・パッチ未適用 ・弱いパスワード設定 リスク Risk 被害が起きる可能性と影響度 脅威 × 脆弱性 × 影響度 → 対策優先度を決める指標 × 💡 対策の考え方 脅威はゼロにできないが、脆弱性をつぶすことでリスクを下げられる!

対策を検討するときは「脅威そのものをなくす」のではなく、脆弱性を減らす・影響度を下げることでリスクをコントロールするのが実務の基本です。たとえば「不正アクセス(脅威)」は防ぎきれませんが、「多要素認証の導入(脆弱性の低減)」によってリスクを大幅に下げられます。

関連する規格・RFC

規格・フレームワーク内容
ISO/IEC 27001情報セキュリティマネジメントシステム(ISMS)の国際規格。脅威の識別・リスクアセスメントのプロセスを規定
NIST SP 800-30リスクアセスメントのガイドライン。脅威の種類・発生可能性の評価方法を詳述
MITRE ATT&CK実際の攻撃者の戦術・技術を体系化したナレッジベース。脅威インテリジェンスの実務標準
JIS Q 27001ISO/IEC 27001の日本語版。国内のISMS認証に使われる

関連用語

  • 脆弱性 — 脅威が実際に被害を与えるための「すき間・弱点」のこと
  • リスク — 脅威と脆弱性が組み合わさって実際の被害につながる可能性と影響度
  • マルウェア — 代表的な意図的脅威の一つ。ウイルス・ランサムウェアなどの総称
  • 不正アクセス — 権限のない者がシステムに侵入する意図的脅威
  • リスクアセスメント — 脅威・脆弱性・影響度を評価してリスクを定量化するプロセス
  • 情報資産 — 脅威から守るべき対象。データ・システム・人・設備など