概要
セキュリティリスク分析(以下、リスク分析)とは、対象のシステムやそれによって実現している事業に対する脅威によって生じる被害の大きさ、脅威の発生可能性、受容可能性などを、リスクレベルとして明確化するプロセスです。
本記事は、IPA(情報処理推進機構)の「制御システムのセキュリティリスク分析ガイド」をベースに解説します。
リスク分析の種類
リスク分析は、以下のようにベースライン法と脅威分析法に分かれます。
- ベースライン法
チェックリスト(あるべき姿)を基に適合状況を確認し、適合していない項目を脆弱性と考える。チェックリストには、ISMS(情報セキュリティマネジメントシステム)やサイバーセキュリティ経営ガイドラインなどが利用される。 - 脅威分析法
対象のシステムに対し、それにより実現されている事業の重要度(被害レベル)・脅威・脆弱性の評価指標のによりリスク分析を行う。
ベースライン法と脅威分析法のメリットとデメリットは以下になります。
| 項目 | メリット | デメリット |
| ベースライン法 | 課題を比較的簡易に洗い出せる | 自分のシステムの状況に沿っていない |
| 脅威分析法 | 正確なリスク分析が可能 | 規模や手法により工数がかかる |
脅威分析法
脅威分析法は、資産ベースの分析とシナリオベースの分析に分かれます。
- 資産ベース
対象システムで守るべき資産の重要度、その資産を侵害しうる脅威、その脅威に対する脆弱性の3つを評価指標とします。 - シナリオベース
対象システムで実現されている事業に対する被害、その被害を起こしうる脅威、その脅威に対する脆弱性の3つを評価指標とします。
シナリオベースの分析は、さらに攻撃ツリー解析とフォルトツリー解析に分かれます。
- 攻撃ツリー解析
攻撃者視点でトップダウンで、誰が、どこから、どのルートを経由して被害発生を起こしうるかのシナリオ(攻撃ツリー)を構成する。 - フォルトツリー解析
被害事象を起点としてボトムアップで、その被害に至る1ステップ前の攻撃事象を追跡し、それを繰り返すことでツリー(フォルトツリー)を構成する。
資産ベースの分析とシナリオベースの分析のメリットとデメリットは以下になります。
| 項目 | メリット | デメリット |
| 資産ベース | 資産に対する脅威の網羅的に洗い出せる 分析工数は比較的小さい |
事業被害のリスクが評価できない |
| 攻撃ツリー | 攻撃の入口を網羅的に洗い出せる サイバー攻撃の被害の分析に適している |
分析工数が大きい |
| フォルトツリー | 事業被害の要因を網羅的に洗い出せる | 分析工数が大きい |
リスク分析の手順
リスク分析の手順は以下になります。リスク分析には、資産ベースのリスク分析と事業被害ベースのリスク分析の2つの手法があります。目的に応じて選択します。
- 分析対象の決定
- 評価指標の決定
- リスク分析の実施
資産ベースのリスク分析
事業被害ベースのリスク分析 - リスク分析の活用
以下にリスク分析の各手順を説明します。
分析対象の決定
分析対象の明確化では以下の作業を実施します。
- 分析範囲の決定
分析範囲と外部との境界にあるネットワーク機器を洗い出します。ネットワークの境界にはルータやファイアウォール等が設置されており、外部との出入り口になるため、それらの機器は分析対象として含めます。 - 分析対象の資産一覧の作成
分析範囲に含まれる資産の一覧を作成します。資産としては、サーバやPC端末などの機器自体に着目する方法と、顧客情報や経営情報などの重要データに着目する方法があります。 - システム構成図の作成
分析対象の機器を接続関係のマトリクスによって結線します。さらに、重要データがどこに格納されているかを確認します。 - データフロー図の作成
データフローは、機器間でのコマンドの発行やデータのやり取りのための正規の通信経路です。データフローが存在する場合は、存在しない場合に比べ、サイバー攻撃の際に悪用される可能性があるため、攻撃ルートに絞込みに利用できます。
評価指標の決定
評価指標は以下の4つがあります。
- リスク値
- 脅威レベル
- 脆弱性レベル
- 対策レベル
リスク値は、資産の重要度(資産ベース)、事業被害(シナリオベース)、脅威、脆弱性を指標に、次の5段階で算出します。
| リスク値 | A | B | C | D | E |
| リスクのレベル | 非常に高い | 高い | 中程度 | 低い | 非常に低い |
脅威レベルは、対象システムの対する脅威の発生可能性で表します。
| 脅威レベル | 3 | 2 | 1 |
| 脅威が発生する可能性 | 高い | 中程度 | 低い |
脆弱性レベルは、対象システムに対して発生した脅威の受容可能性、または対策レベルで表します。受容可能性と対策レベルは、数値が逆になります。
| 脆弱性レベル | 3 | 2 | 1 |
| 脅威発生時、受け入れる可能性 | 高い | 中程度 | 低い |
| 対策レベル | 3 | 2 | 1 |
| 脅威の対策 攻撃が成功する可能性 |
十分 低い |
十分とは言えない 中程度 |
実施されていない 高い |
資産ベースのリスク分析
資産ベースのリスク分析とは、リスクアセスメントの手法の一つで、保護すべき資産を明確にして、システムの各資産の重要性、想定される脅威、脆弱性の3つの相乗値によって、資産のリスクの評価を実施します。以下、資産ベースのリスク分析の手順を説明します。
資産の重要度の決定
資産とは、サーバやPCなどの情報系資産、回線やネットワーク機器などのネットワーク資産の他、制御系資産を指します。
資産の重要度とは、サイバー攻撃を受けることによって想定される事業被害、システム資産としての価値を考慮して、その資産をどの程度のセキュリティ強度で守る必要があるかを示す指標です。
分析ガイドでは、各機器の種類により重要度が3段階で提示されています。
| 資産の重要度 | 資産名 |
| 3 | ファイアウォール、制御サーバ、コントローラ |
| 2 | DMZ、ネットワーク機器、操作端末 |
| 1 | 端末、監視端末 |
脅威と対策候補の洗い出し
システムに対する脅威と対策候補を洗い出します。以下に具体例を挙げます。
| 脅威 | 対策候補 |
| 不正アクセス | ファイアウォール、IDS/IPS、WAF、プロキシ、認証、パッチ適用 |
| 不正操作・改ざん | 認証、改ざん検知、アクセス制御、ログ管理 |
| 過失操作 | 操作性改善、メール誤送信防止、Webフィルタリング |
| マルウェア感染 | アンチウィルス、プロセスのホワイトリスト化、パッチ適用 |
| 情報漏えい・盗聴 | データ暗号化、メモリデバイス管理、アクセス制御、DLP |
| 機能停止 | UPS、冗長構成、データバックアップ、BCP |
| 高負荷攻撃 | 帯域制御、分散化 |
| 物理的侵入 | 入退管理、認証 |
脅威レベルの決定
脅威レベルは、システムに対する脅威の発生可能性を評価した値です。例えば、ネットワーク経由での不正アクセスについては、分析ガイドで以下のような判断基準が示されています。
| 脅威レベル | 判断基準 |
| 3 | ファイアウォールが設置されていない |
| 2 | ファイアウォールが設置されている |
| 1 | 異機種のファイアウォールが設置されている |
対策状況の確認
前段階で列挙した対策候補一覧について、実施済みかどうかをチェックします。
その際に、対策が導入されていても、それが有効な状態でない場合は、未実施として扱います。例えば、ウィルス対策ソフトがインストールされていても、定義ファイルが最新でない場合は、未実施として扱います。
脆弱性レベルの評価
脆弱性レベルとは、情報システムに対して発生した脅威の許容値を3段階で評価した値で、想定する脅威(攻撃手法)が発生した場合に、攻撃が成功する可能性を表します。
脆弱レベルは、対策レベルの逆数として表すこともできます。対策レベルとは、情報システムに対して発生した脅威に対するセキュリティ対策状況の有効性を3段階で評価した値です。例えば、対策レベルが3ならば脆弱性レベルは1、逆に対策レベルが1ならば脆弱性レベルは3と考えることができます。
| 対策レベル値 | 判断基準の例 |
| 1 | 1つの脅威に対し、有効な対策が実施されていない |
| 2 | 1つの脅威に対し、1つ以上の有効な対策が実施されている |
| 3 | 1つの脅威に対し、1つ以上の有効な対策が実施されており、かつ対策の中にファイアウォール、暗号化、電子署名などの対策が取られている |
リスク値の算定
リスク値は、資産の重要度、脅威レベル、脆弱性レベルから総合的に算出し、A(リスクが非常に高い)からE(リスクが非常に低い)の5段階で表します。例えば、リスク値A~Cの算定基準は以下になります。
| 重要度 | 脅威×脆弱性 | リスク値 |
| 3 | 6以上~9以下 | A |
| 3 | 3以上~6未満 | B |
| 2 | 6以上~9以下 | B |
| 3 | 1以上~3未満 | C |
| 2 | 3以上~6未満 | C |
| 1 | 6以上~9以下 | C |
事業被害ベースのリスク分析
事業被害ベースのリスク分析とは、シナリオベースのリスク分析の1つで、インシデントを起点にその被害に至る原因となるステップを遡ってシナリオを構築します。以下、事業被害ベースのリスク分析の手順を説明します。
攻撃シナリオの検討
攻撃シナリオとは、事業被害を引き起こす可能性のある攻撃拠点・攻撃対象・最終攻撃を具体化したシナリオです。検討の流れは以下になります。
- 攻撃対象の明確化
攻撃対象とは、搾取・改ざん・破壊など、最終攻撃の実行により事業被害を引き起こす資産です。ここでは、攻撃対象の資産を洗い出します。 - 最終攻撃の明確化
最終攻撃とは、事業被害を引き起こす最終的な攻撃です。回避したい事業被害が、どの機器で何を行ったら発生する可能性があるか洗い出します。 - 攻撃拠点の明確化
攻撃拠点とは、攻撃対象に対して攻撃の実行が可能な資産です。攻撃対象自身に侵入する必要があるか、遠隔から攻撃が可能かなども確認します。 - 攻撃シナリオの設定
事業被害レベルが「3」の事業被害を分析対象として、攻撃シナリオを策定することが推奨されています。過去のインシデントに該当するか、類似するシナリオを優先的に選定します。
侵入口の検討
侵入口とは、攻撃者が攻撃を行う際に入口となる資産です。侵入口には、ネットワーク経由の侵入口と、物理アクセスによる侵入口に分けられます。
侵入口となりうるネットワークや機器をシステム構成図から洗出し、リスク分析の対象とする侵入口を選定します。例としては、外部のネットワークとの境界に置かれているファイアウォールなどが対象になります。
攻撃者の検討
攻撃者とは、攻撃の意思を持つ人物や組織です。まずは、外部の悪意のある第三者と内部関係者に大別し、攻撃者の侵入可能性に応じて、攻撃者と侵入口による分析範囲の選定を行います。
攻撃ルートの検討
攻撃ルートとは、侵入口から経由を通って攻撃拠点に到達するまでのルートです。攻撃シナリオでの結果を基に、誰が(攻撃者)、どこから(侵入口)、どうやって(攻撃ルート)、どこで(攻撃拠点・攻撃対象)、何をする(最終攻撃)の観点から検討します。
検討の流れは以下になります。
- 攻撃拠点・攻撃対象のシステム構成図上の所在の確認する。
- 侵入口のデータフロー図上の所在の確認する。
- 侵入口から攻撃拠点までの攻撃ルートの選定する。
まずは、攻撃コストの低い(攻撃し易い)攻撃ルートを選定することから始めます。
攻撃ツリーの組立て
攻撃ツリーとは、攻撃シナリオに含まれる攻撃拠点・攻撃対象・最終攻撃に加えて、攻撃シナリオを実現する攻撃者・侵入口、経由を具体化した一連の攻撃手順(攻撃ステップ)です。
攻撃ステップとは、「侵入口→経由→攻撃拠点→攻撃対象」の各攻撃段階を指します。攻撃ツリーは、攻撃ステップにより構成されます。
事業被害レベルの設定
事業被害レベルとは、対象システムによって実現している事業が損なわれた場合の被害の大きさを3段階で評価した値で、想定した攻撃ツリーが発生した場合の被害の大きさを表します。
脅威レベルの評価
脅威レベルとは、対象システムに対する脅威の発生可能性を3段階で評価した値で、想定した攻撃ツリーが発生する可能性を表します。
セキュリティ対策状況の確認
各攻撃ステップで想定する攻撃に対して、現状実施しているセキュリティ対策を確認します。各対策は、用途と目的によって以下の4つに分類します。
- 防御(侵入/拡散段階)
攻撃の初期段階の対策です。 - 防御(目的遂行段階)
情報搾取、改ざんなど攻撃者による最終目的の実行を防御する目的の対策です。 - 検知/被害把握
検攻撃の実施または成功による被害の発生を早期に検知することを目的とした対策です。 - 事業継続
攻撃の成功による被害を最小限に留めるための対策です。
対策レベルと脆弱性レベルの評価
対策レベルとは、対象システムに発生した脅威に対するセキュリティ対策の有効性を3段階で評価した値です。想定した攻撃ツリーが発生した場合、現在実施している対策で防止できる可能性です。
脆弱性レベルとは、対象システムに発生した脅威の受容可能性を3段階で評価した値です。想定した攻撃ツリーが発生した場合、攻撃が成功する可能性です。対策レベルを裏返したものが脆弱性レベルとなります。
リスク値の評価
リスク値は、各攻撃ツリーの事業被害レベル、脅威レベル、脆弱性レベルから総合的に算出し、A(リスクが非常に高い)からE(リスクが非常に低い)の5段階で表します。例えば、リスク値A~Cの算定基準は以下になります。
| 事業被害 | 脅威 × 脆弱性 | リスク値 |
| 3 | 6以上 ~ 9以下 | A |
| 3 | 3以上 ~ 6未満 | B |
| 2 | 6以上 ~ 9以下 | B |
| 3 | 1以上 ~ 3未満 | C |
| 2 | 3以上 ~ 6未満 | C |
| 1 | 6以上 ~ 9以下 | C |
リスク分析の活用
リスク分析の実施後の進め方は以下になります。
- リスク対策の優先順位を決定
- リスク対策の策定と実施
- セキュリティテストの実施
- PDCAサイクルの実施
