-
- Page 2
筆者独自のPythonエンジンによる定量検証
理論を議論で終わらせないため、筆者はATLAS.yaml(MITRE ATLASの全攻撃技法・戦術・説明を構造化した公式データ定義ファイル/YAML形式)を読み込み、独自のPythonベースのリスク分析エンジンを構築した。
まず、ATLAS上の全Techniqueに対してスコアリングシートを生成した。評価要素は以下である。
攻撃の発生確率係数(Prevelance:Pi)
MITRE Atlas上で攻撃テクニックの再現可能性が高い指標の算出を、Maturityの確率係数(feasible / demonstrated / realized をそれぞれ 1.0/ 1.5 / 2.0 の確率係数へ変換)と、Mitigationリスク係数(※2)にて行い、攻撃テクニック固有の発生確率係数として5段階のレベル値に変換。
※2:MITRE ATLASに記載されている攻撃テクニックに対するMitigationの数より多いものは、緩和策手法があるとしてリスクは低い。逆に緩和策手法が少ない、または無いものについてはリスクが高いとして係数を算出
緩和策の成熟度(Mitigation:Mi)
対話型で、MITREのMitigationをその攻撃テクニックに対する緩和策として実施しているかどうかYes or Noで入力可能な画面をリスク分析者に提示し、その結果をリスク分析対象の資産の緩和策の成熟度として算出した。
また、攻撃ステップを4段階連鎖として入力可能なInteractiveエンジンを実装し、SPRV(Step Propagation Risk Value:※3)として伝搬リスクを計算する構造を組み込んだ。これは、単一技法のリスクではなく、「連鎖した場合の累積リスク」を見るためである。
※3 SPRV(Step Propagation Risk Value):複数の攻撃技法が連鎖した際の累積リスクを、発生確率係数(Pi)と影響係数(Mi)から算出する著者独自指標
また、対象の資産を決定する必要があったが、今回の資産は4つの階層構造と定義した。たとえば、ChatGPTを例に挙げて図示すると次の表のようになる。
| 資産の階層構造 | ChatGPTでの例 | 備考 |
|---|---|---|
| L1: 入力層(単体利用) | WebUIのみで利用している場合。議事録の要約、文章の下書き、アイデア創出など。 |
上記はL2に該当 |
| L2: 判断補助層(RAG・読取連携) | Slack連携での相談bot(回答のみ)、DB接続(読取専用) |
上記はL3に該当 |
| L3: 実行層(送信・更新・自動処理) | メール連携で自動送信、DB接続(書き込み可能)、本番DB更新 | なし |
| L4: 経営・社会影響層 | 価格自動決定、契約締結自動化、金融取引実行、医療判断自動確定、重要インフラ制御 | 人間が事後に修正できない段階 |
この記事は参考になりましたか?
- 何かがおかしいセキュリティ連載記事一覧
-
- 人類は本当にAIの制御を失ってしまうのか? 独自検証でリスクを分析、全員に考えてほしい間近...
- 「AIを使いこなせなきゃ生き残れない」と言う前に、“人類の制御”が奪われてしまう可能性が出...
- 最近よく聞く「ゼロトラスト」の謳い文句は鵜吞みにして大丈夫?原点に立ち返り、本質と目的を見...
- この記事の著者
-
伊藤 吉也(イトウ ヨシナリ)
2022年より、米国本社の日本支社であるフォーティネットジャパン合同会社にて全国の自治体、教育委員会向けビジネスの総括を担当。専門領域は、IPAの詳細リスク分析+EDC法による対策策定。ISC2認定 CISSP、総務省 地域情報化アドバイザー、文部科学省 学校DX戦略アドバイザー、デジタル庁 デジタ...
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
