サイバー脅威、脆弱性、およびリスク

サイバー脅威、脆弱性、およびリスクなどの用語は、しばしば互換的に使用され、混同されています。 この記事では、各用語を定義し、それらの違いを強調し、それらが互いにどのように関連しているかを示すことを目的としています。

サイバー脅威

サイバー脅威、または単に脅威とは、その結果によって損害を引き起こす可能性のあるサイバーセキュリティ状況または事象を意味します。 一般的な脅威の例としては、攻撃者がトロイの木馬をインストールしてアプリケーションから個人情報を盗むことにつながるソーシャル エンジニアリングやフィッシング攻撃、政治活動家がウェブサイトを DDoS 攻撃する、管理者が誤って保護されていないデータを本番システムに残してデータ侵害を引き起こす、または嵐が ISP のデータ センターを浸水させる、などが挙げられます。

サイバーセキュリティの脅威は、脅威行為者によって現実化されます。 脅威行為者は通常、潜在的に脅威を開始する可能性のある個人またはエンティティを指します。 自然災害やその他の環境的・政治的事象は脅威となりますが、一般的には脅威行為者とはみなされません（このことは、そのような脅威が軽視されるべき、または重要視されないということではありません）。 一般的な脅威行為者の例としては、金銭的動機のある犯罪者 (サイバー犯罪者)、政治的動機のある活動家 (ハクティビスト)、競合他社、不注意な社員、不満を持つ社員、および国民国家の攻撃者があります。

Cyber threats can also become more dangerous if threat actors leverage one or more vulnerabilities to gain to a system, often including the operating system.

Vulnerabilities

Vulnerabilities とは単にシステムにおける弱さを意味します。 脆弱性は、脅威の結果を可能にし、潜在的にさらに危険なものにします。 たとえば、1 つの SQL インジェクション攻撃によって、攻撃者は機密データを完全に制御することができます。

一般的な脆弱性の例としては、SQL インジェクション、クロスサイトスクリプティング、サーバーの誤設定、プレーンテキストで送信される機密データなどがあります。 しかし、この 2 つの間には微妙な違いがあります。 サイバーセキュリティリスクとは、脅威の発生確率と損失・影響（通常は金銭的なものですが、侵害を定量化することは非常に困難です）の組み合わせを指します。 したがって、リスクとは、避けるべきシナリオと、そのシナリオから生じる可能性のある損失を組み合わせたものです。 以下は、リスクがどのように構築されるかの仮想的な例である。

• SQL Injection は脆弱性である
• 機密データの盗難は SQL Injection が可能にする最大の脅威の 1 つである
• 財務的動機による攻撃者は脅威者の 1 つである
• 機密データが盗まれる影響はビジネスに大きな財務コスト（財務および評判損失）を負担するであろう
• こうした攻撃の可能性は高い
• このように、リスクがあることは、そのリスクによって生じる可能性が高いのだ。 SQL インジェクションは簡単にアクセスでき、広く悪用される脆弱性であり、サイトが外部に面していることを考えると

したがって、このシナリオの SQL インジェクション脆弱性は高リスクの脆弱性として扱われるべきです。

脆弱性とサイバー脅威の違い、および脆弱性とリスクの違いは、通常容易に理解することができます。 しかし、脅威とリスクの違いは、より微妙な場合があります。 この用語の違いを理解することで、セキュリティチームとその他の関係者間のコミュニケーションが明確になり、脅威がリスクにどのように影響するかをより理解することができます。 このことは、ひいてはセキュリティ侵害の防止と軽減につながる可能性があります。

よくある質問