リスクアセスメント

 

これまでに、上場準備やISMS、Pマークとかで、どこかの第三者機関にリスクアセスメントをされる機会が幾度となくあったんですが、あまりしっくりこなかったので、たぶんこんな感じでやるのが良いんやで!ってのを簡単にに書こうかなと思います。
普段リスクアセスメントをやってる(やらされている)けど、これでいいのかわからないという方の参考になれば良いなと思います。
大事なのは “解像度


今日のアジェンダ
  • リスクアセスメントの流れ
  • 情報資産の棚卸し
  • システム構成図の作成
  • 脅威の分析
  • 脆弱性とセキュリティ対策の分析
  • リスクの評価
という感じで進めていきます。
先に書いておきますが、今回書くのはリスクマネジメントではなく、下図でリスクアセスメントと書かれている所です。(下の図を全て含んでいるのがリスクマネジメントかな)

リスクアセスメントの流れ
ISO31000では上図のようになってるそうなのですが、そういうのとかNISTみたいな堅苦しいのは置いといて、これまでの経験上こんな感じでやるのがわかりやすいし良いよなーって思ってる事を書いていきます。(この後書く事ができていればISMSとかのリスクアセスメントとしては充分だと思います)

情報資産の棚卸
先ずは、みんな大好き棚卸しです。どういう情報資産があるのか一覧にしていきます。ここでのポイントは、重要な情報資産については網羅的にやる事です。
最初は箇条書きでも良いと思います。

(例)
・顧客個人情報
・経営情報
・従業員給与データ
など

システム構成図の作成
次はシステム構成とデータの流れが記載された図(以下、システム構成図)を用意します。どんなものかというと、下記のようなもので(重要な情報資産を扱っている)全てのシステムを網羅する事が大切です。これは面倒なんですがこの後の工程で必要なので頑張って用意しましょう

ポイントは、システムの中のサービスの粒度くらいで分けて記載する事かなと思います。理由は、中にいろんなサービスがあって、それぞれで保有する資産も脆弱性も影響する脅威も異なるので、一括りで評価ができないからです。
“解像度” が低いと、AWSの環境を「AWS」で一括りにするような事になります。
わかりやすいようにシンプルな図を例に挙げます


脅威の分析
システム構成図ができあがったら、そこへさらに自社にはどういった脅威が影響するのかというのを可視化していきます。例えば…
  • TwitterでMicrosoft Officeのゼロデイ脆弱性を利用した攻撃手法に関する情報を入手した
  • 日本で、悪意を持った攻撃者グループのEmotetやランサム、フィッシングを使った攻撃により被害が増えている
などなど。
ポイントは日々の情報収集になると思います。脅威が自社のどこに影響を及ぼす可能性があるかシステム構成図を見ながら考えましょう
ここでも “解像度” が大事で、低くなると網羅的に脅威を挙げられず充分な対策ができないです。(なので、いろんな脅威を知ることは重要です)
こんな感じでシステム構成図に付箋とかで貼っていくので良いと思います。


脆弱性とセキュリティ対策の分析
脅威が可視化されたら、次は脅威に晒されているそれぞれの情報資産を扱うシステムが、どの程度セキュリティ対策ができているか(もしくは脆弱性があるのか)を分析していきます。

わかりやすいのを挙げると、下記のような物になります
  • ファイルサーバにめちゃくちゃ重要なデータを置いているけど、ID/Passの認証しかしてない
  • 自社開発のWebサービスのDBがインターネット上どこからでもアクセスができるしポートめっちゃ開いてる
ここでのポイントもシステム構成図を見ながらやる事です。こんな感じになります。(青い付箋の箇所)


リスクの評価
企業により「リスク」の大きさの捉え方が異なると思いますが、ここでは “損失” と “発生する確率” となる要素で評価します。

存在する脅威や脆弱性により情報資産へどれくらいの損失が及ぶのか、どれくらいの確率で発生するのか、セキュリティ対策をする事でどれくらいの損失や発生する確率を抑えられるのかを考えていきます

※今回は時間の都合で、システム構成図上で対策が無い自社開発の基幹システムへの「なりすましアクセス」と「メール添付ファイルから混入するEmotet」を例に書いてみます。本当は、対策ができていたとしてもリスクが残る場合は、全てのリスクに対してのアセスメントしたほうがいいです。

繰り返しになりますが、"損失" と “発生する確率” で評価します。損失も発生する確率も被害額○○円とか、○○%の確率で発生します、と直結する数値で表現できればいいですが、ほぼ不可能なので3段階くらいで評価します。

損失を考える
損失は、"損失を被る顧客の規模(数)" と “顧客が被る損失の大きさ” で評価します
・損失を被る顧客の規模
    1:わずかな顧客が影響を受ける
    2:一部の顧客が影響を受ける
    3:ほとんどの顧客が影響を受ける
・顧客が受ける損失の大きさ
    1:損失は小さい
    2:中程度の損失を被る(一部個人情報の漏洩など)
    3:大きな損失を被る(金銭的な被害など)

発生する確率を考える
発生する確率は、"攻撃手段の容易さ" と “発見されやすさ” で評価します。
・攻撃手段の容易さ
    1:実現は困難(つよつよエンジニアじゃないと突破できない)
    2:インターネット上で攻撃手段が確認でき、再現可能
    3:エクスプロイトが存在する
・発見されやすさ
    1:発見は困難
    2:関係者(の権限)であれば発見可能
    3:誰でも発見可能(インターネットからアクセス可能など)

これらを基に実際に評価してみます。

基幹システムへの認証情報窃取によるなりすましアクセスのリスクを評価する
なりすましによるアクセスされるのは、なりすまされた当該ユーザーのみで、その場合に考えられる被害としては、名前住所などの漏洩。

攻撃手段はエクスプロイトが存在し、インターネット経由では発見不可能だが、社内NW上からは確認が可能である。

という設定で考えます。
上記を評価方法に照らし合わせてなりすましの脅威を評価すると、
  • 損失を被る顧客の規模 →1(わずかな顧客が影響を受ける)
  • 顧客が受ける損失の大きさ →2(名前、住所など個人情報が漏洩)
  • 攻撃手段の容易さ →3(エクスプロイトが存在するので簡単)
  • 発見されやすさ →2(関係者であれば発見が可能)
となるので、これらを掛け合わせて(1*2*3*2=12)リスクスコアを12として評価。
…みたいな感じでやります。では同じようにEmotetも。

メール添付ファイルから混入するEmotetのリスクを評価する
今回のEmotetによる損失を被る顧客は限りなく多い、だが考えられる被害に個人情報漏洩や金銭的なものは無い。

攻撃手段はエクスプロイトが存在し、インターネット経由でも発見される恐れがある。

という設定で考えます。
上記評価方法に照らし合わせてEmotetの脅威を評価すると、
  • 損失を被る顧客の規模 →3(ほとんどの顧客が影響を受ける)
  • 顧客が受ける損失の大きさ →1(個人情報漏洩や金銭被害は無い)
  • 攻撃手段の容易さ →3(エクスプロイトが存在するので簡単)
  • 発見されやすさ →3(インターネット経由で発見が可能)
となるので、これらを掛け合わせて(3*1*3*3=27)リスクスコアを27として評価という感じです。なので、この評価方法での比較だと、Emotet対策を先にやりましょうという結論になります。

まとめ
上にも書きましたが、大事なのは解像度で、資産と脅威の解像度をどれだけ高められるかで大きく変わってきます。

僕自身も脅威への理解がまだまだ足りないなと感じていたので、今年はずっとOffensive Securityの勉強をしていて、だいぶマシになったなという気がするので、脅威って何?みたいな人はとりあえずTryHackMeをやってみる事をお勧めします。

ここに書いてあるのはあくまで例なので、リスクの評価方法などは自社の考え方に合わせたものに変えてもらうのが良いと思います。
少しでも皆さんの参考になれば嬉しいです。

Try Harder!

※もっと詳しく知りたい方は経産省が良い資料出してるので、コレ見てください。
別冊 1 脅威分析及びセキュリティ検証の詳細解説書

このブログの人気の投稿

セキュリティ監視入門! MITRE ATT&CK編 その②現状の評価