謎の円盤UFOのSHADOに続いて、2回目のリスク分析の今回は『サンダーバード are Go (以下areGo)』についてセキュリティリスク分析してみます。

www.thunderbirds.comより

サンダーバードと言えば、1960年代にイギリスで放送された人形劇で、何度も再放送されたと記憶しています。たぶん特定年代の方々は「サンダーバード2号」のプラモデルは三種の神器の一つではなかったでしょうか。(そしてサンダーバードひみつ基地を持っていた方は富豪・・)

サンダーバードをご存じ無い方にも簡単に話を説明すると、ある大富豪が始めた国際救助隊が活躍する話で、大富豪が持つ秘密の島『トレーシーアイランド』から発進するサンダーバードのメカと勇敢な主人公兄弟が世界の窮地を救うといった内容です。旧版ではペネロープというエージェントの声を黒柳徹子さんがされていた事も有名でした。

そのリブート版として2015年に放送されたのが、今回取り上げる「サンダーバード are Go (以下areGo)」です。今回のareGoはCGと模型を使った撮影との事ですが、ごく最近の話なのでセキュリティに関する話もそこここで出てきます。

以下、一部ネタバレと感じられるトコロがあるかもしれませんので、areGoのストーリーをどうしても知らないでおきたい方はここまででお引き取りください。

事前準備(1)資産の洗い出しとシステム構成図(ガイド p56あたり)

早速、リスク分析の資産の洗い出しとシステム構成図の検討に入ります。

国際救助隊は’トレーシーアイランド’という南海の小島からの指令を受け、宇宙、海、空などさまざまなフィールドを得意とするメカを使って救助を行います。これらメカはサンダーバード1~5号、のちにS号も追加で、それぞれトレーシー兄弟(S号はKAYO:ケーヨ)が操縦します。サンダーバード are Goで旧版と違うのは、それぞれのメカに操縦者が搭乗していなくても「リモートコントロールが出来る」という特徴がある点です。

リスク分析されている方はよく聞く言葉、「リモート」という穴場が出てきましたね。ここはしっかりモデル化して確認する方が良いでしょう。

今回の分析ではその操縦者も資産として考えてみました。操縦者(オペレーター)も場合によっては給料が少ないなど不満を抱えると悪意ある内部者として攻撃者になるケースもありますが、さすがにこのトレーシー兄弟は勧善懲悪が基本です。

また彼らメンバーは第8話のサンダーバード5号のコンピュータのプログラムミスによる反乱の話を聞く限り、メカを経由しない、別個のメールシステムを持っているようです。ドラマではコンピュータの反乱時にこの回線を使って助けを求めたのですが、最初は通信がふざけているかと思ったという点から、緊急用の回線という性質のものではなく一般的なインターネットにあるメールと仮定して分析を行います。

さらに資産として、支部エージェントのペネロープ(黒柳徹子さんの印象が)も各所に登場することで追加、トレーシーアイランドには実は司令室(最終話で出てくるバックアップ用の司令室)が登場するので追加。また、この司令室のコンピュータのリセットはペネロープ(支部エージェント)の家からできるので、これもモデルに加えておきましょう。

これらをまとめると以下の様なシステム構成図が考えられます。

   図 サンダーバード are Go のシステム構成図(勝手に推定)

これは複雑で分析はかなりの数になりそうなので、次に資産の絞り込みを行います。ここでは、サンダーバード1~5,S号は全て同じ構成で似たようなロケーションにあると考えメカをサンダーバード1号(T1)の1台に絞りました。セキュリティ対策などもほぼ同程度の仕組みが導入されているでしょう。もし対策が異なる場合は、その中で最も対策が進んでいない資産を代表とすると分析は確実になります。またペネロープは先に書いたように重要人物なので入れておきます。

サンダーバードのメカの通信はトレーシーアイランド(TI)からTBネットワーク経由(勝手に付けました)でおこない、1号と操縦者のスコットは無線のメカ制御ネットワーク(これも勝手に付けました)と呼ぶ回線で接続されていると仮定します。これを整理するともっと簡単なシステム構成図が出来上がります。(FAB1とはペネロープが乗るピンク色のロールスロイスっぽい6輪の車で、初代サンダーバードではペネロープ号と呼ばれていました。)

分析に用いるシステム構成図

ここで進入口になるのは、一般の家を装ったトレーシーアイランド(ネットワーク/物理)、インターネットに接続されたメールサーバ(ネットワーク)の2カ所としました。メカはリモート操作のとき操縦者がいなくなりますが、シールドされていて認証の無い人は入れないようなので進入口とはしていません。

事前準備(2) 資産の重要度の決定(ガイド p96)

最終的に分析すべき資産をリストアップできたら、資産の重要度を決定します。今回は以下の様な判断で決定しました。

・司令室:最終話でわかるのですが、ここから全てのメカをリモートコントロールできるので 3

・トレーシーアイランド:通信のコアに相当するため 3

・サンダーバードメカ(TB1):よく修理しているがそれくらいである程度補完できる様子で何とかなるので 2 (しかも困ってもブレインズという天才科学者がなんとかしてくれる)

・メンバー: 最も良く働かなくてならないが、代理でも操縦できるので 2

・メールシステム:臨時回線のようなので普段はあまり使っていないことや、重要な指示がここから来るわけではない様子なので 1

・支部エージェント(ペネロープ):普段は救助活動と全く関係無さそうな事をしているのですが、これも最終話でわかるのですが(以下ネタバレになります)、支部エージェントは、司令室からの指令を撤回する(指令されたプログラムを消去する)権限が与えられています。それ位大きな立場なので 2としました。

事前準備(3) 事業被害レベルの判断基準の定義(p105)と攻撃シナリオの選定(p184)

これは具体的な事業被害を想定するのがイメージしやすいでしょう。重要インフラなどでは、サービスが停止することで生じる支障の大きさによりますが、サンダーバード are GoではSOSに応じられないと言うことになるでしょうか。

ここでは、助けを呼んだのに時間がかかる事を事業被害とし、そのときのダメージ(信頼性の失墜)を事業被害レベルと考えました。事業被害レベルは例えば、通常の救助より30分以上遅れる場合をレベル1、1日以上遅れる場合をレベル3というように具体的な数値を入れても良いでしょう。

次に事業被害を引き起こす攻撃シナリオを選定します。今回は、救助の際、司令部からの指令が不正、トレーシーアイランドが稼働しない(areGoできない)というシナリオを考えてみました。

事前準備(4) 攻撃者と脅威レベル(p114)

この場合、攻撃者は悪者のフッドですね(areGo シーズン1では)。悪意ある第3者で分析を行います。

セキュリティ対策状況の記入(p122)

それぞれのセキュリティ対策についてまとめます。異論があるかもしれませんが、表の様にまとめました。国際救助隊がWindowsを使っているのかLinuxを使っているのかが分からない為、詳しい部分までは詰めていません。ブレインズが作ったブラックスとかいうのがOSなのでしょうか。これらの詳細はダウンロードページからリスク分析ツールをダウンロードしてご覧ください。人物に関しては、ホワイトリストが設定されていると仮定しました。対策については次のブログでも言及したいと思っています。

リスク分析ツールの対策シート

対策が入ったところで分析ツールの[更新]ダブルクリックすると、対策が記入済みの資産ベースのリスク分析シートが完成します。

資産ベースのリスク分析シート

接続関係の記入 

これはシステム構成図に基づいて接続関係を記入します。[接続関係図生成]のボタンを押すとトポロジのワークシートに概略が出てくる仕組みです。

接続関係マトリックス

データフローの作成

指令は司令室→トレーシーアイランド→各メカ→メンバーに伝達され、報告(プロセス値P)は逆方向、ペネロープからリセット命令が司令室に出されるが一方向、としています。このデータフローによる重み付けで攻撃コストが計算され、危険度を表す数値順に攻撃ツリー候補がリストアップされます。

データフローマトリックス(全体)

入力~危険経路リストの生成

シナリオ、攻撃拠点、攻撃対象(1セットづつしかありません)、最大経由数を入れて[攻撃ツリー評価]ボタンを押すだけで、危険度の高い(攻撃コストの低い)攻撃ツリーをリストアップしてくれます。これがこのツールの一番便利な所。

分析対象とする攻撃ツリーの選択

出力された攻撃ツリーのうち事業被害として考えられるものを選択します。分析ツールを使って自動的に生成された危険リストでも、これは無いと思われるツリーはここで除きます。今回は、資産A→資産B→資産Aの戻り(DMZの分析などでは必要となります)のあるツリーは無駄なので削除。司令室→ペネロープの戻りのあるツリーを削除しました。

攻撃ツリーの選択 赤線は不自然な攻撃ステップとみなしツリーを選択からはずす

残ったツリーにチェックを入れて、事業被害分析シートを生成します。

リスク値の評価(p253)

事業被害ベースのリスク分析シートで対策レベルなどを記入しリスク値を求めます。ここではリスク値Aの攻撃ツリーが4本ほどあることがわかりました。

攻撃ツリーのリスクのまとめ

これらのリスク値を下げるには、例えば、トレーシーアイランドの対策レベルを3まで上げることで対応。

メールネットワークを介する攻撃は、そもそもメールネットワークを専用線にするなどが考えられます(ドラマの中では既にしてあるかもしれませんが)。またメール回線での通信が緊急という目的で無いとすれば(ドラマの中でもそんな感じはしますが)、この通信は重要ではないとみなし脅威としては低く見積もっておけばリスク値は下がります。

ドラマの中でも、攻撃者のフッドはトレーシーアイランドの侵入センサを通り抜けて島に入ってきました。この攻撃が最も手っ取り早いのではないでしょうか。

このトレーシーアイランドのセキュリティ対策レベルを上げるのが最優先でしょうね。

分析に使ったリスク分析ツール、資産ベースのリスク分析シート、事業被害ベースのリスク分析シートはここから無料でダウンロード出来ます。

投稿タグ