資産ベースのリスク分析
資産ベースのリスク分析とは、リスクアセスメントの手法の一つで、保護すべき資産を明確にして、システムの各資産の重要性、想定される脅威、脆弱性の3つの相乗値によって、資産のリスクの評価を実施します。
本記事は、IPA(情報処理推進機構)の「制御システムのセキュリティリスク分析ガイド」(以下、分析ガイド)をベースに解説します。
尚、セキュリティリスク分析の全体の流れは以下になります。
リスク分析の手順
資産ベースのリスク分析の手順を説明します。
資産の重要度の決定
資産とは、サーバやPCなどの情報系資産、回線やネットワーク機器などのネットワーク資産の他、制御系資産を指します。
資産の重要度とは、サイバー攻撃を受けることによって想定される事業被害、システム資産としての価値を考慮して、その資産をどの程度のセキュリティ強度で守る必要があるかを示す指標です。
分析ガイドでは、各機器の種類により重要度が3段階で提示されています。
| 資産の重要度 | 資産名 |
| 3 | ファイアウォール、制御サーバ、コントローラ |
| 2 | DMZ、ネットワーク機器、操作端末 |
| 1 | 端末、監視端末 |
脅威と対策候補の洗い出し
システムに対する脅威と対策候補を洗い出します。以下に具体例を挙げます。
| 脅威 | 対策候補 |
| 不正アクセス | ファイアウォール、IDS/IPS、WAF、プロキシ、認証、パッチ適用 |
| 不正操作・改ざん | 認証、改ざん検知、アクセス制御、ログ管理 |
| 過失操作 | 操作性改善、メール誤送信防止、Webフィルタリング |
| マルウェア感染 | アンチウィルス、プロセスのホワイトリスト化、パッチ適用 |
| 情報漏えい・盗聴 | データ暗号化、メモリデバイス管理、アクセス制御、DLP |
| 機能停止 | UPS、冗長構成、データバックアップ、BCP |
| 高負荷攻撃 | 帯域制御、分散化 |
| 物理的侵入 | 入退管理、認証 |
脅威レベルの決定
脅威レベルは、システムに対する脅威の発生可能性を評価した値です。例えば、ネットワーク経由での不正アクセスについては、分析ガイドで以下のような判断基準が示されています。
| 脅威レベル | 判断基準 |
| 3 | ファイアウォールが設置されていない |
| 2 | ファイアウォールが設置されている |
| 1 | 異機種のファイアウォールが設置されている |
対策状況の確認
前段階で列挙した対策候補一覧について、実施済みかどうかをチェックします。
その際に、対策が導入されていても、それが有効な状態でない場合は、未実施として扱います。例えば、ウィルス対策ソフトがインストールされていても、定義ファイルが最新でない場合は、未実施として扱います。
脆弱性レベルの評価
脆弱性レベルとは、情報システムに対して発生した脅威の許容値を3段階で評価した値で、想定する脅威(攻撃手法)が発生した場合に、攻撃が成功する可能性を表します。
脆弱レベルは、対策レベルの逆数として表すこともできます。対策レベルとは、情報システムに対して発生した脅威に対するセキュリティ対策状況の有効性を3段階で評価した値です。例えば、対策レベルが3ならば脆弱性レベルは1、逆に対策レベルが1ならば脆弱性レベルは3と考えることができます。
| 対策レベル値 | 判断基準の例 |
| 1 | 1つの脅威に対し、有効な対策が実施されていない |
| 2 | 1つの脅威に対し、1つ以上の有効な対策が実施されている |
| 3 | 1つの脅威に対し、1つ以上の有効な対策が実施されており、かつ対策の中にファイアウォール、暗号化、電子署名などの対策が取られている |
リスク値の算定
リスク値は、資産の重要度、脅威レベル、脆弱性レベルから総合的に算出し、A(リスクが非常に高い)からE(リスクが非常に低い)の5段階で表します。例えば、リスク値A~Cの算定基準は以下になります。
| 重要度 | 脅威×脆弱性 | リスク値 |
| 3 | 6以上~9以下 | A |
| 3 | 3以上~6未満 | B |
| 2 | 6以上~9以下 | B |
| 3 | 1以上~3未満 | C |
| 2 | 3以上~6未満 | C |
| 1 | 6以上~9以下 | C |
