[資産ベースのリスク分析]
さて今回は、いよいよリスク分析です。
さきに、リスク分析には、資産ベースと事業被害ベースの2つがあると説明しました。
今回はそのうちの、資産ベースのリスク分析についての説明です。
資産ベースのリスク分析とは、制御システムを構成する個々の資産のセキュリティリスクの分析になります。
この分析では、各資産の制御システム内での重要度、脅威レベル、セキュリティ対策レベルを求めて、そこからリスク値を算定します。
算出されたリスク値が大きい資産は、それだけ攻撃を受けたときのダメージが大きいと解釈できるかと思います。
[リスク分析のための各パラメータ]
前述した3つのパラメータを以下に説明していきます。
・重要度:その資産がサイバー攻撃をうけることによって想定される事業被害や事業継続性の影響が大きければ重要度は大とする(共通ガイド 表3-10参照)
大きいとか小さいといったクライテリアは、システムが停止したときの被害額としたり、停止期間としたり、人命に対するダメージなど色々な基準を設けて考慮されるのが良いでしょう。このクライテリアは、業界によって法令や規則によって定められている場合もあるので、参考にすると良いです。
・脅威レベル:さまざまな脅威の発生する可能性。可能性が高い場合大とする(共通ガイド 表3-30参照)
本リスク分析で脅威とは攻撃手法のことを言っています(共通ガイド 表3-22参照)。つまりサイバー攻撃ではさまざまな脅威(攻撃手法)があって、それら脅威(攻撃手法)めいめいに脅威レベルという値が割り振られます。この脅威レベルは、ざっくり言うと「どれだけヤバい環境なのか」と言うことです。例えば、インターネットに直結した資産が仮にあったとすると、その資産はさまざまな脅威に対して相当ヤバい状態にあると言えます。というのは高いスキルを持った攻撃者がインターネット上には大勢いるからです。脅威レベルはこのように、各脅威(攻撃手法)に対しレベルを付けていきます。
・対策レベル:脅威(攻撃手法)に対する対策ができているかを表す指標。対策が十分できていれば大とする。(共通ガイド 表3-30参照)
それぞれの脅威に対しては、対応する対策があります。対策の完成度、強度を対策レベルとしています。対策レベルは他のパラメータと異なり大きいほど安心、なパラメータであるので、リスクの評価時には対策レベルと双対の値として脆弱性レベルに置き換えてリスク値の評価を行います。この双対の値というのは対策レベル1,2,3が脆弱性レベルの3,2,1にそれぞれ相当するという意味です。
[リスク値の算定]
以上3つのパラメータの組み合わせから、各資産の各脅威に対するリスク値が算出されます。算出の仕方は、脅威レベル、脆弱性レベル、資産の重要度からA〜Eの5段階のリスク値を値付けします(共通ガイド 表4-24参照)
ここで得られたリスク値から、どの資産のどんな面がリスク値が高いのかを知る事ができます。
つづく
