セキュリティの
学び場

セキュリティにおける「脆弱性」と「脅威」の違い

セキュリティの話題になると、よく「脆弱性」「脅威」といった単語を目にします。どちらも「なんだか危ないもの」というイメージがある単語ですが、セキュリティの分野において、この2つの単語にはどのような違いがあるのでしょうか。

セキュリティにおける「脆弱性」

セキュリティにおける「脆弱性」とは、システムが持つ情報セキュリティ上の欠陥を指します。例えば、WEBサイトがユーザから受け取った入力値をそのままデータベースへの命令文に使用している場合、それは重大な脆弱性と言えます。攻撃者はこの脆弱性を利用して、データベースの改ざんや機密情報の閲覧ができる可能性があります。システムを構成しているサーバやソフトウェアに欠陥が無い場合でも、脆弱性は存在する場合があります。例えばWEBサーバが誰でも入れる部屋に置いてある場合、破壊や盗難の被害を受けるリスクがあるため、環境上の脆弱性とみなすことができます。また、管理サイトのパスワードを複数人で使いまわすなど、運用上の脆弱性も存在します。

セキュリティにおける「脅威」

セキュリティにおける「脅威」とは、システムに悪影響を与える事象そのものを指します。悪意を持った攻撃者が存在するもの、例えば攻撃者がデータベースに侵入して機密情報を盗むといったようなものは「脅威」としてイメージしやすいかと思います。脅威には攻撃者が存在しないものもあります。例として、社内用のPCをどこかに置き忘れることによる情報漏えい等が挙げられます。また、地震や洪水によってWEBサーバが物理的に使用できなくなる等、環境的な要因による悪影響も「脅威」の一種です。

上述したように、「脆弱性」「脅威」は共にとても広い意味の事象を表す単語です。まとめると、「脆弱性」と「脅威」の関係を以下のように表すことができます。「脆弱性」とはシステムが「脅威」を受ける可能性のある、システム側の弱点である。このように、「脆弱性」と「脅威」は似ている単語というよりは、親と子のような関係にあると考えることができます。以上を結論としまして、この文章を締めたいと思います。お読みいただきありがとうございました。