1.脅威とは
情報セキュリティスペシャリスト試験を目指す女性SE

脅威という言葉ですが、
当たり前すぎて、説明しにくいですね。
脅威は脅威としか言いようがありません。
以下の問題を見てみよう。
問41 JIS Q 27002における情報資産に対する脅威の説明はどれか。
ア 情報資産に害をもたらすおそれのある事象の原因
イ 情報資産に内在して、リスクを顕在化させる弱点
ウ リスク対策に費用をかけないでリスクを許容する選択
エ リスク対策を適用しても解消しきれずに残存するリスク
(H22AP春 午前 問41)
リスクマネジメントの章で「リスク=情報資産の価値 x 脆弱性 x 脅威」という説明をする。
それを意識しながら、上記の選択肢を一つ一つそれぞれが何を意味するかを考えると勉強になる。

正解は、アの「情報資産に害をもたらすおそれのある事象の原因」です。

2.脅威の分類
脅威を分類すると、以下に分けられます。出典は情報セキュリティマネジメント試験のシラバス
https://www.jitec.ipa.go.jp/1_13download/syllabus_sg_ver1_0.pdf P2[脅威の種類])

脅威の分類代表例
①物理的脅威事故,災害,故障,破壊,盗難,不正侵入 ほか
②技術的脅威不正アクセス,盗聴,なりすまし,改ざん,エラー,クラッキング ほか
③人的脅威誤操作,紛失,破損,盗み見,不正利用,ソーシャルエンジニアリング ほか
この中で、試験では、技術的な脅威が多数問われることでしょう。

参考までに、先ほどの設問の、他の選択肢を解説します。
選択肢イ
「情報資産に内在して、リスクを顕在化させる弱点」は脆弱性のことですね。
選択肢ウ
「リスク保有」です。リスクを全て対策することは費用対効果の面で適切ではありません。例えば、パンフレットが盗まれたとしても、そもそも配るものなのでがまんしましょうという考えです。
選択肢エ
「残存リスク」です。例えば、入退室管理にICカード認証による対策をします。しかし、共連れで不正に入室されるリスクは残ります。これが残存リスクです。
残存リスクに対しては、多くは運用面でルールを決めるなどして対処します。例えば、共連れで入るときは、正規に入った人が注意して入らせないようにするなどの対策を行います。