# 脆弱性の識別 > ## Excerpt > 脅威 、脆弱性、リスクの定義と関係性 --- #### 10-1-3. 脆弱性の識別 ##### 脆弱性の識別 脆弱性があるだけでインシデントが発生するわけではありません。しかし、脆弱性は脅威を顕在化させ、インシデントの発生確率を高める可能性があります。脆弱性を減らすためには、適切な管理策を実施する必要があります。脆弱性は管理策の欠如を同時に意味しているため、脆弱性を識別することは必要な管理策を識別するのに役立ちます。たとえば「アクセス権の誤った割当て」という脆弱性は、「アクセス権の適切な設定」という管理策の欠如を意味しています。 以下は、脆弱性を識別して一覧表にした例です。脆弱性の一覧表を作成する際は、脅威と関連付けて整理する必要があります。 ハードウェア 記憶媒体の不十分な保守/不適当な設置 システムの保守に関する違反 湿気、ホコリ、汚れに対す影響の受けやすさ 粉塵（ダスト）、腐食、凍結 電圧の変化に対する影響の受けやすさ 電力供給の停止 ユーザの識別及び認証メカニズムの欠如 不正アクセス 管理されてないソフトウェアのダウンロード及び使用 恐怖、攻撃、妨害行為 脆弱性の識別例 （出典）「ISO/IEC 27005」を基に作成 脆弱性を識別する際に参考になる情報 - ISO/IEC 27001:2022の附属書A「管理目的及び管理策」 - ISO/IEC 27002:2022の管理策 - 情報セキュリティ管理基準 など 脆弱性は、資産の性質から考えることで簡単に識別できます。たとえば、クラウドサービスは、「インターネットがあればどこでも利用可能」、「自社でデータを持たなくていい」といった性質を持ちます。同時にそれらの性質は「不正アクセス」「クラウドサービス停止によるデータの消失」という脅威に対する脆弱性があります。