リスクの評価
企業により「リスク」の大きさの捉え方が異なると思いますが、ここでは “損失” と “発生する確率” となる要素で評価します。
存在する脅威や脆弱性により情報資産へどれくらいの損失が及ぶのか、どれくらいの確率で発生するのか、セキュリティ対策をする事でどれくらいの損失や発生する確率を抑えられるのかを考えていきます
※今回は時間の都合で、システム構成図上で対策が無い自社開発の基幹システムへの「なりすましアクセス」と「メール添付ファイルから混入するEmotet」を例に書いてみます。本当は、対策ができていたとしてもリスクが残る場合は、全てのリスクに対してのアセスメントしたほうがいいです。
繰り返しになりますが、"損失" と “発生する確率” で評価します。損失も発生する確率も被害額○○円とか、○○%の確率で発生します、と直結する数値で表現できればいいですが、ほぼ不可能なので3段階くらいで評価します。
損失を考える
損失は、"損失を被る顧客の規模(数)" と “顧客が被る損失の大きさ” で評価します
・損失を被る顧客の規模
1:わずかな顧客が影響を受ける
2:一部の顧客が影響を受ける
3:ほとんどの顧客が影響を受ける
・顧客が受ける損失の大きさ
1:損失は小さい
2:中程度の損失を被る(一部個人情報の漏洩など)
3:大きな損失を被る(金銭的な被害など)
発生する確率を考える
発生する確率は、"攻撃手段の容易さ" と “発見されやすさ” で評価します。
・攻撃手段の容易さ
1:実現は困難(つよつよエンジニアじゃないと突破できない)
2:インターネット上で攻撃手段が確認でき、再現可能
3:エクスプロイトが存在する
・発見されやすさ
1:発見は困難
2:関係者(の権限)であれば発見可能
3:誰でも発見可能(インターネットからアクセス可能など)
これらを基に実際に評価してみます。
基幹システムへの認証情報窃取によるなりすましアクセスのリスクを評価する
なりすましによるアクセスされるのは、なりすまされた当該ユーザーのみで、その場合に考えられる被害としては、名前住所などの漏洩。
攻撃手段はエクスプロイトが存在し、インターネット経由では発見不可能だが、社内NW上からは確認が可能である。
という設定で考えます。
上記を評価方法に照らし合わせてなりすましの脅威を評価すると、
- 損失を被る顧客の規模 →1(わずかな顧客が影響を受ける)
- 顧客が受ける損失の大きさ →2(名前、住所など個人情報が漏洩)
- 攻撃手段の容易さ →3(エクスプロイトが存在するので簡単)
- 発見されやすさ →2(関係者であれば発見が可能)
となるので、これらを掛け合わせて(1*2*3*2=12)リスクスコアを12として評価。
…みたいな感じでやります。では同じようにEmotetも。
メール添付ファイルから混入するEmotetのリスクを評価する
今回のEmotetによる損失を被る顧客は限りなく多い、だが考えられる被害に個人情報漏洩や金銭的なものは無い。
攻撃手段はエクスプロイトが存在し、インターネット経由でも発見される恐れがある。
という設定で考えます。
上記評価方法に照らし合わせてEmotetの脅威を評価すると、
- 損失を被る顧客の規模 →3(ほとんどの顧客が影響を受ける)
- 顧客が受ける損失の大きさ →1(個人情報漏洩や金銭被害は無い)
- 攻撃手段の容易さ →3(エクスプロイトが存在するので簡単)
- 発見されやすさ →3(インターネット経由で発見が可能)
となるので、これらを掛け合わせて(3*1*3*3=27)リスクスコアを27として評価という感じです。なので、この評価方法での比較だと、Emotet対策を先にやりましょうという結論になります。