リスクとは、将来的に資産を減らす要因になりえるものです。脅威が脆弱性を悪用して資産に損害を与える可能性とその結果生じる損害の重大性を指します。

セキュリティの世界では、外から来る害の大きさ（脅威）と自分の持っている弱い部分（脆弱性）から成ると定義しています。

リスク　＝　脅威　×　脆弱性　（×　影響 ）

組織や特定の資産に望ましくない結果をもたらす可能性のあるあらゆる事象が脅威になってきます。意図的なもの偶発的なものに関わらず脅威となります。また、内部から発生することも、外部から発生することもあります。

脆弱性とは、資産の弱点や安全対策がないことが脆弱性で、脅威が危害を加えることを可能にする欠陥、抜け道、見落とし、感受性に当たります。