事業被害ベースのリスク分析
事業被害ベースのリスク分析とは、シナリオベースのリスク分析の1つで、インシデントを起点にその被害に至る原因となるステップを遡ってシナリオを構築します。
本記事は、IPA(情報処理推進機構)の「制御システムのセキュリティリスク分析ガイド」(以下、分析ガイド)をベースに解説します。
尚、セキュリティリスク分析の全体の流れは以下になります。

リスク分析の手順
事業被害ベースのリスク分析の手順を説明します。
攻撃シナリオの検討
攻撃シナリオとは、事業被害を引き起こす可能性のある攻撃拠点・攻撃対象・最終攻撃を具体化したシナリオです。検討の流れは以下になります。
- 攻撃対象の明確化
攻撃対象とは、搾取・改ざん・破壊など、最終攻撃の実行により事業被害を引き起こす資産です。ここでは、攻撃対象の資産を洗い出します。 - 最終攻撃の明確化
最終攻撃とは、事業被害を引き起こす最終的な攻撃です。回避したい事業被害が、どの機器で何を行ったら発生する可能性があるか洗い出します。 - 攻撃拠点の明確化
攻撃拠点とは、攻撃対象に対して攻撃の実行が可能な資産です。攻撃対象自身に侵入する必要があるか、遠隔から攻撃が可能かなども確認します。 - 攻撃シナリオの設定
事業被害レベルが「3」の事業被害を分析対象として、攻撃シナリオを策定することが推奨されています。過去のインシデントに該当するか、類似するシナリオを優先的に選定します。
侵入口の検討
侵入口とは、攻撃者が攻撃を行う際に入口となる資産です。侵入口には、ネットワーク経由の侵入口と、物理アクセスによる侵入口に分けられます。
侵入口となりうるネットワークや機器をシステム構成図から洗出し、リスク分析の対象とする侵入口を選定します。例としては、外部のネットワークとの境界に置かれているファイアウォールなどが対象になります。
攻撃者の検討
攻撃者とは、攻撃の意思を持つ人物や組織です。まずは、外部の悪意のある第三者と内部関係者に大別し、攻撃者の侵入可能性に応じて、攻撃者と侵入口による分析範囲の選定を行います。
攻撃ルートの検討
攻撃ルートとは、侵入口から経由を通って攻撃拠点に到達するまでのルートです。攻撃シナリオでの結果を基に、誰が(攻撃者)、どこから(侵入口)、どうやって(攻撃ルート)、どこで(攻撃拠点・攻撃対象)、何をする(最終攻撃)の観点から検討します。
検討の流れは以下になります。
- 攻撃拠点・攻撃対象のシステム構成図上の所在の確認する。
- 侵入口のデータフロー図上の所在の確認する。
- 侵入口から攻撃拠点までの攻撃ルートの選定する。
まずは、攻撃コストの低い(攻撃し易い)攻撃ルートを選定することから始めます。
攻撃ツリーの組立て
攻撃ツリーとは、攻撃シナリオに含まれる攻撃拠点・攻撃対象・最終攻撃に加えて、攻撃シナリオを実現する攻撃者・侵入口、経由を具体化した一連の攻撃手順(攻撃ステップ)です。
攻撃ステップとは、「侵入口→経由→攻撃拠点→攻撃対象」の各攻撃段階を指します。攻撃ツリーは、攻撃ステップにより構成されます。
事業被害レベルの設定
事業被害レベルとは、対象システムによって実現している事業が損なわれた場合の被害の大きさを3段階で評価した値で、想定した攻撃ツリーが発生した場合の被害の大きさを表します。
脅威レベルの評価
脅威レベルとは、対象システムに対する脅威の発生可能性を3段階で評価した値で、想定した攻撃ツリーが発生する可能性を表します。
セキュリティ対策状況の確認
各攻撃ステップで想定する攻撃に対して、現状実施しているセキュリティ対策を確認します。各対策は、用途と目的によって以下の4つに分類します。
- 防御(侵入/拡散段階)
攻撃の初期段階の対策です。 - 防御(目的遂行段階)
情報搾取、改ざんなど攻撃者による最終目的の実行を防御する目的の対策です。 - 検知/被害把握
検攻撃の実施または成功による被害の発生を早期に検知することを目的とした対策です。 - 事業継続
攻撃の成功による被害を最小限に留めるための対策です。
対策レベルと脆弱性レベルの評価
対策レベルとは、対象システムに発生した脅威に対するセキュリティ対策の有効性を3段階で評価した値です。想定した攻撃ツリーが発生した場合、現在実施している対策で防止できる可能性です。
脆弱性レベルとは、対象システムに発生した脅威の受容可能性を3段階で評価した値です。想定した攻撃ツリーが発生した場合、攻撃が成功する可能性です。対策レベルを裏返したものが脆弱性レベルとなります。
リスク値の評価
リスク値は、各攻撃ツリーの事業被害レベル、脅威レベル、脆弱性レベルから総合的に算出し、A(リスクが非常に高い)からE(リスクが非常に低い)の5段階で表します。例えば、リスク値A~Cの算定基準は以下になります。
事業被害 | 脅威 × 脆弱性 | リスク値 |
3 | 6以上 ~ 9以下 | A |
3 | 3以上 ~ 6未満 | B |
2 | 6以上 ~ 9以下 | B |
3 | 1以上 ~ 3未満 | C |
2 | 3以上 ~ 6未満 | C |
1 | 6以上 ~ 9以下 | C |

