セキュリティリスク分析とは

セキュリティ

セキュリティリスク分析(以下、リスク分析)とは、対象のシステムやそれによって実現している事業に対する脅威によって生じる被害の大きさ、脅威の発生可能性、受容可能性などを、リスクレベルとして明確化するプロセスです。

本記事は、IPA(情報処理推進機構)の「制御システムのセキュリティリスク分析ガイド」をベースに解説します。

リスク分析の種類

リスク分析は、以下のようにベースライン法と脅威分析法に分かれます。

  • ベースライン法
    チェックリスト(あるべき姿)を基に適合状況を確認し、適合していない項目を脆弱性と考える。チェックリストには、ISMS(情報セキュリティマネジメントシステム)やサイバーセキュリティ経営ガイドラインなどが利用される。
  • 脅威分析法
    対象のシステムに対し、それにより実現されている事業の重要度(被害レベル)・脅威・脆弱性の評価指標のによりリスク分析を行う。

ベースライン法と脅威分析法のメリットとデメリットは以下になります。

項目 メリット デメリット
ベースライン法 課題を比較的簡易に洗い出せる 自分のシステムの状況に沿っていない
脅威分析法 正確なリスク分析が可能 規模や手法により工数がかかる

脅威分析法は、資産ベースの分析とシナリオベースの分析に分かれます。

  • 資産ベース
    対象システムで守るべき資産の重要度、その資産を侵害しうる脅威、その脅威に対する脆弱性の3つを評価指標とします。
  • シナリオベース
    対象システムで実現されている事業に対する被害、その被害を起こしうる脅威、その脅威に対する脆弱性の3つを評価指標とします。

シナリオベースの分析は、さらに攻撃ツリー解析とフォルトツリー解析に分かれます。

  • 攻撃ツリー解析
    攻撃者視点でトップダウンで、誰が、どこから、どのルートを経由して被害発生を起こしうるかのシナリオ(攻撃ツリー)を構成する。
  • フォルトツリー解析
    被害事象を起点としてボトムアップで、その被害に至る1ステップ前の攻撃事象を追跡し、それを繰り返すことでツリー(フォルトツリー)を構成する。

資産ベースの分析とシナリオベースの分析のメリットとデメリットは以下になります。

項目 メリット デメリット
資産ベース 資産に対する脅威の網羅的に洗い出せる
分析工数は比較的小さい
事業被害のリスクが評価できない
攻撃ツリー 攻撃の入口を網羅的に洗い出せる
サイバー攻撃の被害の分析に適している
分析工数が大きい
フォルトツリー 事業被害の要因を網羅的に洗い出せる 分析工数が大きい

リスク分析の手順

リスク分析の手順は以下になります。

  1. 分析対象の決定
  2. 評価指標の決定
  3. リスク分析の実施
  4. リスク分析の活用

分析対象の決定

分析対象の明確化では以下の作業を実施します。

  1. 分析範囲の決定
  2. 分析対象の資産一覧の作成
  3. システム構成図の作成
  4. データフロー図の作成

評価指標の決定

リスク値は、資産の重要度(資産ベース)、事業被害(シナリオベース)、脅威、脆弱性を指標に、次の5段階で算出します。

リスク値
リスクのレベル 非常に高い 高い 中程度 低い 非常に低い

脅威レベルは、対象システムの対する脅威の発生可能性で表します。

脅威レベル
脅威が発生する可能性 高い 中程度 低い

脆弱性レベルは、対象システムに対して発生した脅威の受容可能性、または対策レベルで表します。受容可能性と対策レベルは、数値が逆になります。

脆弱性レベル
脅威発生時、受け入れる可能性 高い 中程度 低い
対策レベル
脅威の対策
攻撃が成功する可能性
十分
低い
十分とは言えない
中程度
実施されていない
高い

リスク分析の実施

リスク分析の進め方は、資産ベースの分析とシナリオベースの分析で異なります。

資産ベースのリスク分析とは
資産の重要性、想定される脅威、脆弱性の3つの相乗値によって、資産のリスクの評価を実施します。
事業被害ベースのリスク分析とは | 散策路
目次 事業被害ベースのリスク分析攻撃シナリオの検討侵入口の検討攻撃者の検討攻撃ルートの検討攻撃ツリーの組立て事業被害レベルの設定脅威レベルの評価セキュリティ対策状況の確認対策レベルと脆弱性レベルの評価リスク値の評価参考情

リスク分析の活用

リスク分析の実施後の進め方は以下になります。

  1. リスク対策の優先順位を決定
  2. リスク対策の策定と実施
  3. セキュリティテストの実施
  4. PDCAサイクルの実施

 

情報セキュリティ
情報セキュリティ、ISMS、リスク分析、ログ分析、送信ドメイン認証、公開鍵基盤、CSIRT、情報セキュリティ対策ベンチマーク
数理の散策路
力学、電磁気・相対論、熱・統計力学、量子力学、物性物理、機械学習、情報処理、金融、物理数学

 

タイトルとURLをコピーしました