本文へスキップ
スキルアップカレッジ

リスクと脅威と脆弱性——攻撃者の動機を知る

レッスン2:リスクと脅威と脆弱性——攻撃者の動機を知る

このレッスンで学ぶこと

  • リスク・脅威・脆弱性の 3 つの用語を区別できる
  • 「リスク=脅威 × 脆弱性 × 影響」の関係式を持つ
  • 攻撃者の種類(外部・内部・組織犯罪・国家支援)と動機を整理する
  • リスクアセスメントの基本的な流れを理解する
  • 「すべて守る」ではなく「重要なものを優先する」発想を持つ

前のレッスンでは、情報セキュリティの定義と CIA トライアド、情報資産の考え方を整理しました。本レッスンでは、何から守るのか——脅威の正体——と、リスクをどう構造化して優先順位を付けるかを学びます。「うちが狙われるはずがない」「狙われたらどうしようもない」のどちらの極端な見方からも距離を取り、現実的にリスクを捉える発想を持ちます。

3 つの用語の違い

セキュリティの議論でよく出てくる「リスク」「脅威」「脆弱性」は、混同されがちです。まず違いを整理します。

用語 意味
脅威(Threat) 情報資産に害を与え得る原因 ランサムウェア攻撃、内部不正、自然災害
脆弱性(Vulnerability) 脅威に利用される弱点 古い OS、弱いパスワード、教育不足
リスク(Risk) 脅威 × 脆弱性 × 影響度から推定される、損害発生の可能性 弱いパスワードがランサムウェアに使われ業務停止する可能性

関係式

シンプルな関係式で表すと、

リスク = 脅威 × 脆弱性 × 影響度
  • 強力な脅威があっても、脆弱性がなければリスクは低い(鉄壁の防御がある)
  • 脆弱性があっても、それを狙う脅威がなければリスクは低い(誰も狙わない)
  • 両方あっても、損害(影響度)が小さければリスクは管理可能

この関係を理解すると、「何にどう対処するか」の判断軸が明確になります。

💡 ポイント 「脅威を全部なくす」「脆弱性を全部なくす」は現実的に不可能です。リスクをゼロにすることはできない、という前提に立つことが、現実的なセキュリティ運用の出発点です。

脅威の種類——「誰が」「何のために」

脅威を整理する代表的な切り口が、「誰が、何のために」攻撃してくるかです。

①外部の個人攻撃者

  • 動機:技術的な好奇心、自己顕示、金銭目的
  • 手段:公開された脆弱性スキャン、フィッシングメール、ブルートフォース
  • 規模:小規模、不特定多数を狙う

②組織犯罪グループ

  • 動機:金銭(身代金、データ売買、詐欺)
  • 手段:ランサムウェア、BEC、フィッシング、マルウェア配布
  • 規模:中〜大規模、組織的に運営される

近年、ランサムウェア攻撃は「ランサムウェア・アズ・ア・サービス(RaaS)」として産業化しています。攻撃者は分業し、マルウェア開発・配布・身代金交渉・資金洗浄が組織的に行われます。

③国家支援の攻撃グループ

  • 動機:政治、軍事、経済情報の窃取、社会インフラへの攻撃
  • 手段:高度な持続的脅威(APT)、ゼロデイ脆弱性、長期潜伏
  • 規模:大規模、極めて高度

国家支援型は標的を絞り、特定の組織に対して長期間(半年〜数年)潜伏することが知られています。

内部脅威(インサイダー)

  • 動機:金銭、報復、転職先への土産、うっかりミス
  • 手段:正規アクセスの悪用、データ持ち出し、設定ミス
  • 規模:個人〜数人

内部脅威は、外部攻撃と比べて見落とされがちですが、被害は深刻になりやすい領域です。退職予定者の振る舞いの監視や、最小権限の原則(後のレッスン 3)が対策の中心になります。

⑤自然災害・偶発事故

  • 動機:なし(自然・人為的ミス)
  • 手段:地震、火災、停電、機器故障、設定誤り
  • 規模:場所と規模次第

「攻撃」ではないが、可用性を脅かす脅威としては最大級です。バックアップと冗長化が中心的な対策になります。

📝 補足 多くの組織で見落とされがちなのが、内部脅威と偶発事故です。「外部の天才ハッカー」のイメージばかり強調されますが、実際の被害は内部の悪意・うっかり・自然災害から来ることも多いのが現実です。バランスよく考える視点が大切です。

攻撃者の動機を知る理由

攻撃者の動機を知ることは、防御設計の基本です。

動機がわかれば狙いがわかる

  • 金銭目的の組織犯罪 → ランサムウェアか BEC か顧客情報窃取が中心
  • 国家支援 → 機密情報・技術情報・人事情報
  • 内部不正 → 顧客リスト、技術情報、人事情報
  • 自己顕示 → ホームページの改ざん、公開メッセージ

動機別の対策の重み付け

  • BtoC のオンラインサービス:個人情報+クレジットカード情報を狙うランサム・詐欺グループ
  • 政府関連請負企業:国家支援型を意識した APT 対策
  • 製造業:技術情報の窃取(産業スパイ)と、製造ラインを止めるランサム
  • 医療機関:患者情報の機密性と、業務継続性(可用性)

組織の業種・規模・データの性質によって、優先すべき脅威は違います。「どこも一律に同じ対策」では効率が悪いのです。

⚠️ 注意 「うちは小さな会社だから狙われない」という思い込みは危険です。組織犯罪グループは小〜中規模企業を「セキュリティが甘く、身代金を払う可能性が高い」標的として狙うことが、近年急増しています。「規模が小さい=安全」ではありません。

脆弱性の種類——「何を弱点とするか」

脆弱性は、脅威に利用される弱点です。多くの種類がありますが、現場でよく見るものを 4 つに整理します。

①技術的脆弱性

  • 古い OS・ソフトウェアの未パッチ状態
  • 設定ミス(公開すべきでないものが公開されている)
  • ソフトウェアのバグ(特に外部に公開された API)
  • 暗号化の弱さ・未実装

②人的脆弱性

  • セキュリティ教育の不足
  • 警戒心の薄さ(フィッシングに気づかない)
  • 共有意識の弱さ(パスワードを付箋に貼る)
  • 多忙による判断力低下

③組織的脆弱性

  • セキュリティ方針の不在・形骸化
  • 部門間の連携不足
  • 退職者管理の不備
  • インシデント時の連絡経路の不明確さ

④物理的脆弱性

  • 入退室管理の甘さ
  • 機器の盗難リスク
  • 紙書類の取り扱い不備
  • 外部委託先の管理不足

💡 ポイント 「セキュリティ=技術」と思っていると、技術的脆弱性ばかりに目が行きます。実際の現場では、人的・組織的・物理的脆弱性が大きな割合を占めます。総合的に見るのがリスク管理の基本です。

リスクアセスメントの基本

リスクアセスメントは、「どんなリスクがあり、どれを優先するか」を整理する作業です。基本的な流れを示します。

ステップ 1:情報資産の棚卸し

何を持っているか、それは誰にとってどんな価値があるかを書き出します。

  • 顧客リスト:10 万件、流出すれば信用毀損と賠償
  • 設計データ:競合に渡れば事業価値が下がる
  • 給与システム:停止すれば月次給与処理に支障
  • 社員 PC 端末:紛失すれば紛失内容次第で大事故

ステップ 2:脅威の特定

各資産に対して「どんな脅威があるか」を考えます。

  • 顧客リスト:外部攻撃による窃取、内部不正、操作ミス
  • 設計データ:産業スパイ、内部からの持ち出し
  • 給与システム:ランサムウェア、停電、人為ミス

ステップ 3:脆弱性の評価

各脅威が「自社のどの弱点を利用するか」を見つけます。

  • 顧客リストへの外部攻撃:DB のアクセス制御は十分か、パスワードは強いか
  • 内部不正:退職者のアクセス権はちゃんと削除しているか
  • 操作ミス:誤送信を防ぐ仕組みはあるか

ステップ 4:影響度の評価

「侵害された場合の被害の大きさ」を見積もります。金額、信用、業務停止時間など。

ステップ 5:優先順位付けと対策

リスク(脅威 × 脆弱性 × 影響度)の大きいものから対策します。すべてに同時対処はできないため、優先順位付けが鍵です。

「受容」「低減」「移転」「回避」の選択肢

各リスクに対して、4 つの選択肢があります。

選択肢 内容
受容 許容範囲内とみなして放置 影響が小さい、コスト対効果で割に合わない
低減 対策を講じて影響を下げる パッチ、教育、アクセス制御強化
移転 保険などで他者に転嫁 サイバー保険、外部委託
回避 リスクの源を取り除く 機微情報を扱わない、サービス停止

📝 補足 「すべてのリスクに低減策」は組織のリソースを圧迫します。「受容」も正当な選択肢で、「これは現状受け入れる」と組織で合意した上で記録するのが、リスクマネジメントの基本です。

講師の現場メモ:「狙われた中小企業の話」

私(関口)が独立後にアドバイザリーを担当した、ある中堅製造業の話です。社員 200 名規模、業界では知られていますが、一般には無名の企業でした。

ある月曜の朝、私の元に緊急の連絡が入りました。「週末に業務システムが停止しました。画面に身代金要求のメッセージが出ています」。典型的なランサムウェア攻撃でした。

調査を進めると、攻撃の入り口は VPN 装置の脆弱性でした。VPN を介して内部に侵入し、Active Directory の管理者アカウントを奪取、3 日間潜伏したあと、週末に一斉に暗号化を実行する手口でした。攻撃者の要求は「身代金 8000 万円相当の暗号資産」でした。

私はクライアントの経営陣にこう質問しました。

「なぜうちが狙われたと思いますか?」

社長の答えは、「うちは規模も小さく、業界では目立たない会社。狙う理由がわからない」でした。

私はその場で、攻撃の解析結果を共有しました。

  • 攻撃者は組織犯罪グループ(東欧拠点と推定)
  • 標的は「VPN 装置に既知の脆弱性が残っており、復旧時に身代金を払う可能性のある企業」をスキャンして選定
  • 「業界での知名度」「企業規模」は条件に入っていない
  • むしろ中規模企業の方が、CISO がいない、IT 担当が兼業、リカバリ準備不十分、という理由で狙われやすい

社長は驚いていました。「うちのような会社が標的リストに入っていたなんて……」

このインシデントの対応で、私は次のような対策を順に進めました。

  • VPN 装置の即座のアップデートと、利用方針の見直し
  • 全社員向けのフィッシング訓練と、月次のセキュリティ研修
  • バックアップの 3-2-1 ルール徹底(3 つのコピー、2 種類の媒体、1 つはオフライン)
  • インシデント対応手順の明文化と、年 2 回の訓練

幸い、バックアップから復旧でき、身代金は支払いませんでした。被害は数千万円規模に収まりました。

このインシデントで学んだのが、「うちは狙われない」という思い込みが、最大の脆弱性であるということです。本コースで「規模が小さくても標的になる」「脅威と脆弱性のかけ算でリスクを見る」と繰り返すのは、この経験が背景にあります。

まとめ

このレッスンでは、以下のことを学びました。

  • リスク・脅威・脆弱性は別々の概念で、「リスク=脅威 × 脆弱性 × 影響度」の関係
  • 脅威の種類:外部個人・組織犯罪・国家支援・内部脅威・自然災害
  • 攻撃者の動機を知ると、自社にとって優先すべき対策が見える
  • 「うちは小さいから狙われない」は誤解。中小企業ほど狙われやすい時代
  • 脆弱性は技術的・人的・組織的・物理的の 4 種類があり、総合的に見る
  • リスクアセスメントは資産棚卸し → 脅威特定 → 脆弱性評価 → 影響度評価 → 優先順位付け
  • 各リスクに対して受容・低減・移転・回避の 4 選択肢がある

次のレッスンでは、認証認可——パスワード・MFA・SSO・パスキー——という、すべての社員に直結する基本機能を扱います。

確認クイズ

このレッスンの理解度をチェックしましょう。