【事業被害ベース分析のリスク値】

今回は事業被害ベースのリスク分析のリスク値の求め方について説明します。

もう一つのリスク分析の手法である、資産ベースのリスク分析では、

・「資産」の脅威レベル:どの程度脅威が発生する可能性があるのか?

・「資産」の脆弱性レベル:セキュリティ対策がどれくらいできていないのか?

・「資産」の重要度:その資産がシステム内でどの程度重要か?

で決まりました。

事業被害ベースのリスク分析では、この「」の中が、『攻撃ツリー』になり、さらに資産の重要度が、

攻撃ツリーの事業被害レベル:その攻撃ツリーでもたらされる事業被害の大きさ

となります。

前回少し触れましたが、攻撃ツリーは、『xxxというレベルnの事業被害が、誰がどこからどうやって何を攻撃することにより発生する』を情報として持っています。ですので、守るべき対象や攻撃者、シナリオが明確になっている攻撃ツリーに対してリスクを分析するという事になります。

 

【攻撃ツリーの評価指標】

攻撃ツリーとは資産と違って形の無いものなので、資産ベース分析と少し異なりますが、事業被害ベースのリスク値は以下の評価指標で決まります。上の内容を再度まとめると、

・「攻撃ツリー」の脅威レベル:どの程度脅威が発生する可能性があるのか

・「攻撃ツリー」の脆弱性レベル:攻撃ツリーを構成する資産にセキュリティ対策がどれくらいできていないのか

・「攻撃ツリー」の事業被害レベル:その攻撃ツリーによって引き起こされる事業被害の大きさ

以下に、それらの評価指標をさらに詳しく説明します。

(このあたりはIPAのリスク分析ガイドから読み取るのは結構苦労すると思いますので、あくまで私見での説明です。)

 

  • 攻撃ツリーの脅威レベル

その攻撃ツリーの攻撃の成立する可能性はどれだけか?

なかなか判断が難しい指標です。攻撃があっさり成立する場合脅威は高いのですが、成立の可能性は、どれだけ脆弱なのかと絡みます。その脆弱性は脅威レベルとは別の評価指標なのですから、脆弱性レベルと脅威レベルが混合されてしまう可能性があります。

この脅威レベルは「攻撃ツリーの」としていますが、手慣れた分析者であれば手間をかけることなく値付けが出来るのかもしれませんが、はじめてリスク分析を行う人には結構難しいと思います。ですので、筆者は、脅威は侵入口の脅威レベルを考える、事で良いと考えています。侵入口の脅威がはっきりすれば、それ以降の経由や攻撃拠点での脅威は、各資産の脆弱性側で評価すれば良いのです。それに侵入口の脅威レベルは、既に資産ベースのリスク分析で算定済みでしょうから。侵入口の脅威レベルは、攻撃の発端となる場所はどれだけ危険なのかを表しています。何重にも守られていればそこまで到達するのが困難なので脅威は低く、外部に晒されていると脅威は高くなります。

 

  • 攻撃ツリーの脆弱性レベル

その攻撃ツリーがどれだけ脆弱か?

攻撃ツリーは侵入口から攻撃対象までの各資産のセキュリティ対策がどの程度なされているのかで脆弱さが決まります。攻撃ツリーを構成するステップのどこか一つで攻撃を止めることができれば、その攻撃ツリーは実行されません。ですので、攻撃ツリーの脆弱性レベルは、最強の資産の脆弱性レベル(つまり直列の強さ)で決まります。各資産の脆弱性レベルは既に資産ベースのリスク分析で算定されているはずです。ひとつ注意が必要なのは、各資産の脆弱性レベルは、資産ベースのリスク分析では様々な脅威に対していくつものレベルが算出されているはずです。そこから攻撃ツリーに持ってくる場合には、適切な値(例えばネットワークを経由して攻撃される場合はネットワーク経由の脆弱性レベル)を参考に値付けを行う必要があるという事です。

 

  • 攻撃ツリーの事業被害レベル

このレベルは事業被害を考える段階(本ブログではNO8)で、シナリオと連結して値付けを行っているものをそのまま使います。

 

  • リスク値の算出

リスク値は、脅威レベル×脆弱性レベル、事業被害レベルの2次元のマッピングを行い、5段階の評価を行います。これで決定できた値が事業被害ベースの分析のリスク値となります。ここでいう高いリスク値は、危険で対策や検討の優先度が高いものと認識してください。

 

次回は、資産ベースのリスク分析と事業被害ベースのリスク分析で分析者が陥りやすいポイントについて解説します。