ITパスポート 試験情報＆徹底解説

情報セキュリティにおいて、脅威、脆弱性、リスクは次のように定義されます。

脅威

情報資産に損害を与える事故を引き起こす潜在的な要因
例）マルウェア、サイバー攻撃、内部不正、人的ミス、災害、盗難、紛失

脆弱性

組織や情報システムに内在する欠点や弱点
例）バグ、セキュリティホール、アクセス制御の不備、シャドーIT、規程類の未整備・未周知、弱いパスワード

リスク

ある脅威が脆弱性を利用して情報資産に損害を与える可能性
例）不正アクセスによる情報漏えい、サーバ障害によるサービス停止、設定ミスによる権限外情報の閲覧

リスクは、脅威と脆弱性が結びつくことで生じ、守るべき情報資産の価値が高いほどリスクが大きくなります。リスクの大きさは、「発生確率×損害の大きさ」で評価されますが、発生確率は「脅威と脆弱性」によって決まり、損害の大きさは「資産価値」で決まるので、リスクの大きさは、資産価値・脅威・脆弱性の3要素の関係で評価されます。

したがって正しい記述は「エ」です。