脅威・脆弱性・リスクの違いとは？セキュリティの基本概念を現場目線で整理する

「脅威」「脆弱性」「リスク」——セキュリティの資料や会議でよく飛び交う言葉ですが、三つの違いを正確に説明できますか？
実はこの三概念を混同したまま対策を打っても、優先順位がズレて予算と工数が無駄になります。インシデント対応の経験を積んだエンジニアほど「この区別が実務の土台だ」と口をそろえます。

この記事では、脅威・脆弱性・リスクを具体的な現場シナリオで整理し、中小企業の情シス担当者が今日から使えるリスク管理の基本手順まで解説します。

脅威・脆弱性・リスクとは？

まず三つの定義を整理しましょう。

三つの関係を式で表すとこうなります。

# リスクの基本式（情報セキュリティの教科書的定義）
リスク = 脅威 × 脆弱性 × 影響度

# 実務的な言い換え
リスク = 「誰が・何を使って攻めてくるか」× 「どこに穴があるか」× 「やられたらどれだけ痛いか」

この式が頭に入っていると、対策の優先度を論理的に決められるようになります。

それぞれの違いを具体例で理解する

抽象的な定義だけでは掴みにくいので、一つのシナリオで三概念を見ていきます。

1. 脅威の具体例

・外部攻撃者: ランサムウェアグループ・フィッシング詐欺グループ・スクリプトキディ（自動化ツールを使う低スキル攻撃者）
・内部不正: 退職予定の社員による情報持ち出し、委託業者によるアクセス乱用
・自然災害・過失: 停電・火災によるデータ損失、操作ミスによる設定変更

「脅威」はあくまで外部から働きかけてくる力や事象です。脅威そのものを完全になくすことはほぼ不可能です。ランサムウェアグループは世界中に存在し、今日もあなたの組織をスキャンしているかもしれません。

2. 脆弱性の具体例

・技術的脆弱性: パッチ未適用のOS・古いバージョンのWordPress・デフォルトパスワードが変更されていない機器
・設定ミス: S3バケットのパブリック公開・不要ポートの開放・ログが取られていない設定
・人的脆弱性: フィッシングメールを見抜けない社員・パスワード使い回し・セキュリティ教育の未実施
・物理的脆弱性: 施錠されていないサーバー室・持ち出し可能なメディア

「脆弱性」は組織の内部に存在する弱点です。脅威と違い、自分でコントロールできるのが特徴です。パッチを当てる、設定を直す、教育を施す——対処の主体は自分です。

3. リスクの具体例（脅威 × 脆弱性）

リスクは脅威と脆弱性が組み合わさって初めて生じます。

「脅威があっても脆弱性がなければリスクは低い」「脆弱性があっても脅威がなければリスクは低い」——この視点を持つと対策の解像度が格段に上がります。

3つの概念がどう連鎖するか

現場でよく見る「失敗パターン」をもとに、連鎖の構造を確認しましょう。

【失敗例1】脅威ばかり見て脆弱性管理を後回しにした

「うちには重要な情報はない」「狙われるほどの規模でもない」と思っていた中小企業が、自動スキャンによる無差別攻撃でWebサイトを改ざんされた——これは珍しくないケースです。
攻撃者は「あなたを狙った」わけではなく、インターネット上の脆弱性を自動スキャンして見つけただけです。脅威の意図は関係なく、脆弱性さえあれば攻撃は成立します。

【失敗例2】脆弱性をすべて潰そうとしてリソースが枯渇した

脆弱性スキャンを実施したら500件の指摘が出た——すべてを修正しようとして業務が止まった、という話もあります。
大切なのは「脅威と影響度を掛け合わせたリスクの大小で優先順位をつけること」です。インターネットに公開されていない内部ツールの低深刻度脆弱性と、外部公開Webサーバーの認証バイパス脆弱性では、リスクの重みがまったく異なります。

具体的な防御手順

1. 脅威の洗い出し（Threat Identification）

自社に関係する脅威を列挙します。業種・規模・扱うデータによって脅威プロファイルは異なります。

・業種別の代表的脅威を参照する（IPAの「情報セキュリティ10大脅威」は年次更新されており実務で使いやすい）
・過去のインシデント事例（IPA・JPCERT発表）を確認する
・自社が保有するデータ（個人情報・クレジットカード・営業秘密）の価値を評価する

中小企業の情シス1人体制では、すべての脅威を網羅しようとせず、「ランサムウェア」「フィッシング」「不正アクセス」の3大脅威を起点にするのが現実的です。

2. 脆弱性のスキャン・評価

自社システムの弱点を把握します。

# Webサーバーのポートスキャン（自社管理サーバーのみ実施）
nmap -sV -sC -p 1-65535 your-server-ip

# OpenVASを使った脆弱性スキャン（GVM/OpenVAS Community Edition）
# インストール後、ブラウザから http://localhost:9392 にアクセスして設定

# WordPressの脆弱性チェック（自社サイトのみ）
wpscan --url https://your-site.example.com --enumerate vp,vt

# SSLサーバーの設定確認（testssl.sh）
./testssl.sh your-site.example.com

スキャンは必ず自社の管理下にあるシステムにのみ実施してください。他者のシステムへの無許可スキャンは不正アクセス禁止法に抵触する可能性があります。詳細は法律の専門家にご確認ください。

3. リスクの優先度付け（リスクアセスメント）

洗い出した脅威と脆弱性を組み合わせ、影響度・発生可能性の2軸でリスクを評価します。

リスクスコア（発生可能性 × 影響度）が高いものから対策するのが基本です。スコアが6点なら最優先、2点以下なら受容（許容）という判断も成立します。

中小企業でも今日からできること

・IT資産の棚卸し: 社内で使っているPCとサービスの一覧を作る。資産が分からなければ脆弱性も分からない
・パッチ適用状況の確認: WindowsUpdate・ルーター・VPN装置のファームウェアを最新化する
・MFAの有効化: Microsoft 365・Google Workspace・銀行などの重要サービスから着手する
・退職者アカウントの即時停止: 退職当日に全アカウントを無効化するフローを人事と連携して整備する
・バックアップの確認: 3-2-1ルール（3世代・2メディア・1オフサイト）で重要データが守られているか確認する

これらはコストゼロで着手できる対策です。「完璧なセキュリティ」より「今日できる一手」が情シス1人体制では重要です。

よくある誤解と注意点

【誤解1】脆弱性がなければ攻撃されない

技術的な脆弱性がなくても、社員へのフィッシングや電話を使ったソーシャルエンジニアリング攻撃は成立します。人的脆弱性はシステムだけでは塞げません。

【誤解2】リスクはゼロにできる

「100%安全」は存在しません。リスクは低減・移転（保険）・受容・回避の4択で対処します。コストに見合わないリスクは受容するという判断も正当な経営判断です。

【誤解3】脅威情報だけ追えばよい

最新の脅威情報をキャッチアップすることは重要ですが、それよりも「自社の脆弱性を減らし続けること」の方が確実に効きます。攻撃者は既知の手口を使い回します。パッチ管理と認証強化だけで防げる侵害は全体の7割を超えるとも言われています。

本記事のまとめ

この三概念を区別することで、「何に対して・どの順番で・どのくらいのコストをかけて対策するか」という問いに論理的に答えられるようになります。セキュリティ対策は直感ではなく、リスクの大小に基づいた意思決定です。

Linuxサーバーの脆弱性管理や権限設定については、姉妹サイトLinuxMaster.JPでも詳しく解説しています。