「事業被害ベース」でもリスクを分析していく
次に、事業被害ベース(シナリオベースとも言う)でリスクを分析していく。このアプローチでは業務に対する被害を重視し、「最終的な事業被害を回避可能か否か」に焦点を当て、攻撃シナリオを構築し、それに基づく攻撃ツリーを策定する。攻撃ステップ群の中から成熟度の高い対策レベルを採択し、事業被害レベル、脅威レベル、脆弱性レベルによりリスク値を算出する。
また、事業被害ベースのリスク分析では、以下2つの解析手法が採用されている。
- 攻撃ツリー解析(Attack Tree Analysis):頂上(ゴール)には、攻撃者が最終的に達成したい目標(例:ウイルス感染・侵入成功・情報窃取など)を置き、下層分岐では、そのゴールを達成するための具体的手口をAND/ORで分岐していく
- フォルトツリー解析(Fault Tree Analysis):頂上には、発生すれば重大な結果をもたらす「事故」や「障害」(例:大規模火災、システム停止、製品不良など)を置き、下層分岐では、そのゴールを達成するための具体的手口をAND/ORで分岐していく
IPAの方式では、この2つの手法が攻撃シナリオを構成する攻撃ツリーや攻撃ルートに融合されている。
事業被害は、その企業にとって「もっとも起こってほしくないこと」を想定する。次にそのシナリオに基づいて、どのような脅威が考えられるのか、攻撃ステップごとにその脅威によってどの資産が攻略されてしまうのかを検討しながら策定していく。
なお、攻撃ステップごとに評価指標を策定するのは「対策」のみである。攻撃ステップが3つあった場合には、3つの攻撃ステップ一つひとつに対する対策の成熟度レベルがどれほどかを策定する。それぞれの対策のうち、もっとも成熟度の高い対策が当該攻撃ツリー全体の対策となる。脅威レベル、事業被害レベルは、全体の攻撃ツリーを見て定性的に評価する。
「攻撃者」の像に関してはどのような定義で想定していけばよいのか。IPAガイドでは、以下のような対象に対しリスク分析を行うとしている。たとえば、ネットワーク経由の場合は悪意ある第三者が想定されており、物理アクセスについては、内部関係者の過失と物理錠を破る悪意ある第三者が攻撃者として定義されている。
この記事は参考になりましたか?
- 何かがおかしいセキュリティ連載記事一覧
-
- そのセキュリティ製品は自社にとって本当に必要か?真に対策すべきリスクを分析・把握する手順を...
- クラウドセキュリティ界隈の疑問──「クラウドの“設定ミス”」という表現は適切か? 問題の本...
- この記事の著者
-
伊藤 吉也(イトウ ヨシナリ)
2022年より、米国本社の日本支社であるフォーティネットジャパン合同会社にて全国の自治体、教育委員会向けビジネスの総括を担当。専門領域は、IPAの詳細リスク分析+EDC法による対策策定。ISC2認定 CISSP、総務省 地域情報化アドバイザー、文部科学省 学校DX戦略アドバイザー、デジタル庁 デジタ...
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
