サービスに関する
お問い合わせ

緊急対応 専用窓口

セキュリティの緊急事態が発生したらご遠慮なくお問い合わせください。ご相談は無料です。

SHIFT SECURITY

クラウドセキュリティの
学び場

SHIFT SECURITY クラウドセキュリティの学び場 用語・国際規格 セキュリティにおける「脆弱性」と「脅威」の違い

セキュリティにおける「脆弱性」と「脅威」の違い

セキュリティにおける「脆弱性」と「脅威」の違い
目次
  • セキュリティにおける「脆弱性」と「脅威」の違い

セキュリティにおける「脆弱性」と「脅威」の違い

セキュリティの話題になると、よく「脆弱性」「脅威」といった単語を目にします。どちらも「なんだか危ないもの」というイメージがある単語ですが、セキュリティの分野において、この2つの単語にはどのような違いがあるのでしょうか。

セキュリティにおける「脆弱性」

セキュリティにおける「脆弱性」とは、システムが持つ情報セキュリティ上の欠陥を指します。例えば、WEBサイトがユーザから受け取った入力値をそのままデータベースへの命令文に使用している場合、それは重大な脆弱性と言えます。攻撃者はこの脆弱性を利用して、データベースの改ざんや機密情報の閲覧ができる可能性があります。システムを構成しているサーバやソフトウェアに欠陥が無い場合でも、脆弱性は存在する場合があります。例えばWEBサーバが誰でも入れる部屋に置いてある場合、破壊や盗難の被害を受けるリスクがあるため、環境上の脆弱性とみなすことができます。また、管理サイトのパスワードを複数人で使いまわすなど、運用上の脆弱性も存在します。

セキュリティにおける「脅威」

セキュリティにおける「脅威」とは、システムに悪影響を与える事象そのものを指します。悪意を持った攻撃者が存在するもの、例えば攻撃者がデータベースに侵入して機密情報を盗むといったようなものは「脅威」としてイメージしやすいかと思います。脅威には攻撃者が存在しないものもあります。例として、社内用のPCをどこかに置き忘れることによる情報漏えい等が挙げられます。また、地震や洪水によってWEBサーバが物理的に使用できなくなる等、環境的な要因による悪影響も「脅威」の一種です。

上述したように、「脆弱性」「脅威」は共にとても広い意味の事象を表す単語です。まとめると、「脆弱性」と「脅威」の関係を以下のように表すことができます。「脆弱性」とはシステムが「脅威」を受ける可能性のある、システム側の弱点である。このように、「脆弱性」と「脅威」は似ている単語というよりは、親と子のような関係にあると考えることができます。以上を結論としまして、この文章を締めたいと思います。お読みいただきありがとうございました。

あなたの疑問を一緒に解決します!

解説してほしい用語や技術、仕組みについての疑問、
みなさまのクラウドセキュリティのお悩みに関して技術者が記事にして回答します!
ぜひご気軽にご投稿ください。

クラウドの脆弱性診断にご興味があるかたはこちら

この記事の著者 廣政 龍亮

2016年よりSHIFTのグループ会社に入社し、主にソフトウェアテストに従事。2017年よりSHIFT SECURITY案件に配属される。 同案件ではWEB脆弱性診断のテスト実行や案件管理を経て、現在はテストケース標準化に携わる。

\ 記事をシェアする /

サービスに関する
お問い合わせ