サイバー攻撃対策に有効、「資産ベース」のリスク分析手順
先述したようにリスクを定量化することは、特にサイバー攻撃に対しては困難さがともなう。そのため、高・中・低など定性的にリスクを図る手法が使いやすい。
IPA(情報処理推進機構)が2023年3月に発行した、国内で発行されているリスク分析ガイドの一つである『制御システムのセキュリティリスク分析ガイド 第2版』(以下、IPAガイド)では、定性的リスク分析手法が採用されている。このIPAガイドにある“資産ベース”のリスク分析を例にとって見ていこう。
IPAガイドは、経済産業省の依頼により重要インフラ企業向けに発行されたものだ。しかし、その手法の手順が明確化されているため、地方公共団体の情報セキュリティポリシーガイドライン検討会やデジタル庁など、重要インフラ企業以外でも幅広く採用されている。
以下、順を追って資産ベースのリスク分析の手順を説明していく。
【1】システム構成図を準備する
まずは、リスク分析対象のシステム構成を把握し、作図する。重要な資産の把握と、その資産がネットワーク構成上、どこに配置されているかを把握するためだ。
【2】データフローを作成する
次に、各資産の通信の流れを把握するために、データフローを作成する。これにより、重要資産の正規の通信ルートを把握できる。正規の通信ルートは攻撃コストが少なく済むため、悪意ある第三者が好む攻撃ルートになりやすい。
【3】資産リストを作成する
資産を洗い出し、分析対象の資産を絞り込んだ後、資産一覧表を作成する。
【4】資産の重要度を決める
資産の重要度は、その会社の事業内容にも関係する。IPAガイドでは、判断基準の定義例を次のように示している。
【5】資産ベースのリスク分析シートを記入する
分析対象として選定した資産に対する、評価指標を入力する。以下の評価指標に関しては、3段階の定性的評価を行う。
- 資産の重要度(すでに【4】で取り決めている)
- 脅威レベル
- 対策/脆弱性レベル
IPAガイドでは、以下のような脅威が標準で装備されている。
「脅威レベル」とは、その脅威が発生する可能性のことを指す。以下の判断基準で策定していく。
対策レベルの判断は、その脅威が発生した場合に防御できる対策を講じているかどうかで下していく。次に示すリスク分析シートへの記入例のように、IPAガイドではあらかじめ対策項目が標準で装備されている。これを活用して、現在実施している対策に〇を付けていこう。
3段階の判断は、〇の数や、〇を付けた対策の強度によって算定する。「対策」と「脆弱性」の関係は反比例の関係となる。当該脅威に対する対策が有効であれば、その資産の脆弱性は低いという関係性だ。
その対象資産がIPAガイド標準装備の脅威に対して、現状どこまで対策できているのか。それらを算定して、脅威に対する当該資産のリスク値を判定する。
これで、資産ベースのリスク分析結果が算定できた。リスク値の算定後に行う内容については、最終頁で後ほど説明する。
この記事は参考になりましたか?
- 何かがおかしいセキュリティ連載記事一覧
-
- そのセキュリティ製品は自社にとって本当に必要か?真に対策すべきリスクを分析・把握する手順を...
- クラウドセキュリティ界隈の疑問──「クラウドの“設定ミス”」という表現は適切か? 問題の本...
- この記事の著者
-
伊藤 吉也(イトウ ヨシナリ)
2022年より、米国本社の日本支社であるフォーティネットジャパン合同会社にて全国の自治体、教育委員会向けビジネスの総括を担当。専門領域は、IPAの詳細リスク分析+EDC法による対策策定。ISC2認定 CISSP、総務省 地域情報化アドバイザー、文部科学省 学校DX戦略アドバイザー、デジタル庁 デジタ...
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
