ー3.2.リスク分析ー
はじめに
情報セキュリティリスクマネジメントのリスク分析プロセス(図中の赤枠部分)について、主要なガイドラインを参考に自分なりに解釈した内容を、なるべく具体的に残しておきます。
注)なお、本稿は筆者が文献の参照と経験に基づき独自に解釈した内容のため、認識が間違っている可能性があります。(誤りに気付いた方は、コメントいただけると幸いです)
1)リスク分析とは
先ずはリスク分析プロセスで実施すべきこと、考慮すべきことを理解するために、各ガイドラインに記載されている内容を確認します。
JIS Q 27000:2019 から引用
3.63 リスク分析(risk analysis)
リスクの特質を理解し、リスクレベルを決定するプロセス。
注記1 リスク分析は、リスク評価、及びリスク対応に関する意思決定の基礎を提供する。
注記2 リスク分析は、リスクの算定を含む。
JIS Q 27001:2014 (ISO/IEC 27001:2013) から引用
6.1.2 情報セキュリティリスクアセスメント
組織は、次の事項を行う情報セキュリティリスクアセスメントのプロセスを定め、適用しなければならない。
(中略)
d) 次によって情報セキュリティリスクを分析する。
1) 6.1.2 c) 1) で特定されたリスクが実際に生じた場合に起こり得る結果についてアセスメントを行う。
2) 6.1.2 c) 1) で特定されたリスクの現実的な起こりやすさについてアセスメントを行う。
3) リスクレベルを決定する。
リスク分析とは、リスク特定によりリスト化された各リスクについて顕在化した場合に起こり得る結果とその起こりやすさを分析し、それぞれの分析結果を組み合わせリスクレベルを算定するプロセスです。
2)具体的な実施方法
リスクアセスメントにより得られる結果を判断するために使用する基準、特にリスクレベルを決定するためにはリスクの構成要素を理解する必要があります。本稿では、情報リスクの要因分析を行うためのフレームワークを提供しているFAIR(Factor Analysis of Information Risk)が提唱しているリスク構造に基づき考察します。
FAIRのリスク構造モデルでは、下図のように一般的にリスクの要素とされている「損失事象の発生頻度」と「損失事象の大きさ」(JIS Q 31000: 2019では、それぞれ「起こりやすさ」と「結果」と表現されています。)を更に細分化し、組織の状況をより詳細に分析できるようになっているため、イベントベースアプローチにより想定した脅威シナリオに基づき個々の指標のレベルを評価し、右から左に組み合わせていくことにより最終的にリスクレベルの値を知ることが可能になります。
FAIRで提示される個々の指標は、単独ではなく関連しています。例えば国家の重要インフラに関わる事業を行っている組織の場合、接触頻度、実行の発生確率、脅威の能力それぞれが高い値を示します。また、同じ脅威シナリオを想定した場合でも、影響の及ぶ範囲を考え、起こりやすさについては関連する要因を組み合わせて分析するなど、関連する指標を考慮することで結果の精度は向上します。
各要素について次項以降で概説しますが、個人的には、構造、個々の指標の考え方が、情報システムの脆弱性に対する評価手法として公開されている共通脆弱性評価システム CVSS( Common Vulnerability Scoring System)と似ている感じる部分が多く、理解の助けになると考えています。
2-1)起こりやすさの分析
① 接触頻度(Contact Frequency)
脅威アクターとターゲット*1との接触の起こりやすさを表し、具体的には、次のような点を考慮し判断します。
ターゲットと脅威アクターとの間で防御壁として機能する管理策の有無
外部の攻撃者が組織内の機密情報を窃取する攻撃を企てているとの事象を想定すると、ターゲットとなる組織における機密情報の保管環境が関連します。例えば、「保管場所がパブリッククラウド上なのか?、オンプレミス上なのか?」、「FWによりネットワーク分離がされているのか?」などが判断の基準となります。
また、想定する脅威アクターによっても接触のしやすさは異なります(例えば、外部の攻撃者、一般要員、業務上の管理者、特権を有するシステム管理者など)。脅威シナリオによっては、内部協力者の有無も影響すると思われます。脅威アクターの量
内部不正という事象を想定した場合、不正に関与する可能性のある者が組織内部にどれ程存在するのかが判断材料となります。例えば、欧米では、公務員だけではなく、経済安全保障の観点で先端技術の流出を防ぐためにその研究に携わる民間に対しても、セキュリティクリアランス*2による厳しいスクリーニングが実施されており、最近は国内でもそれに準じるべきとの議論がされています。セキュリティクリアランスの実施は、組織内部に脅威アクターが入り込むことを防ぐ効果があります。ターゲットの量
内部、外部の脅威に曝される可能性のあるターゲットの保有量です。例えば、不要な情報及びその他関連資産をいつまでも保有することは脅威との接触の可能性を高めることになってしまいます。 *3
一見、エアギャップ内のPCは脅威との接触が無いように思えてしまいますが、USBメモリや要員をリスク源として考えるとゼロではない事が理解できます。このように脅威シナリオを想定する際には、網羅的にリスク源やターゲットを洗い出すことが求められます。
接触頻度そのものを表すものではありませんが、脅威インテリジェンスを用い、例えば、「ダークWeb上で自組織の脆弱性やクレデンシャルのような認証に係る情報が売買されていないか?」あるいは、「組織で設置しているセキュリティ機器から収集しているログに疑わしい振る舞いが記録されていないか?」などの実際に外部脅威が組織内に対し接触を試みている兆候を検知することも重要です。
② 実行の発生確率(Probability of Action)
脅威アクターがターゲットの状況を理解し、その後、目的達成のための行動を実行に移す確率(実行しようとする意欲)を表します。行動を実行に移す際に脅威アクターが重視する点は、目的を達成するためにかかる労力と得られる利益の比較です。そのため、実行に移行させないための策としては、「目的達成は容易ではない」、「目的を達成しても得られるものが少ない」と脅威アクターに認識させることが有効です。
また、内部不正を想定する場合は、「不正のトライアングル」の観点で、3要素「動機」、「不正の正当化」、「実行機会」を低下させる管理策が有効です。
具体的には、次のような点を考慮し判断します。
ターゲット組織の堅牢さ
脅威アクターが認識しているターゲット組織の堅牢さです(脅威アクターから堅牢そうに見えるか?であり、実際に堅牢かどうかではありません)。
例えば、「ターゲットが運営するWebサイトに脆弱性が存在する 」、「ダークWeb上で、ターゲット組織への侵入や攻撃方法が売買されている」など、脅威アクターが組織の脆弱性に係る情報を接触の段階で入手していると、実行に移行する可能性は高くなります*4 。
今年は、自動車産業のサプライチェーンを狙った攻撃が多く見られますが、より価値の高い物(産業規模の大きさ)を比較的容易に手に入れられる(サプライチェーン上の最も弱い箇所を狙う)との理論が働いていると考えることもできます。
また、技術的な堅牢さ以外にも、例えば、過去にランサムウェアに対する身代金支払い実績がある組織の場合、再度、支払いに応じるというように脅威アクターからは組織の体制上の脆さと捉えられる可能性があります。ターゲットの資産価値
脅威アクターから見たターゲットの資産価値の高さです。脅威アクターは、実行の前段階でソーシャルエンジニアリングなどにより、ターゲット組織の事業内容、売上金額は元より、金融資産、知的財産、新規性のある製品情報を保有している可能性を調査し、当該組織が重要と考える情報、関連資産を資産価値を含め特定します。
したがって、価値の高い資産を保有していることを脅威アクターに悟られないことも必要です。例えば、機密情報や重要設備を保管している施設の入口に「重要情報保管 関係者以外立ち入り禁止」と表示をすることは、抑止効果が得られると同時に不要な好奇心をかきたてることになりかねません。実行した場合のリスク
脅威アクターが、実行した場合のリスクをどの程度見積もるか?です。例えば、内部不正を想定した場合、発覚する可能性が高いことを認識させるために各種ログを取得し、監視していることを周知したり、内部不正が発覚した場合に厳正な処罰を与えることを定めた罰則規定などは実行の発生確率を抑える効果が期待できます。
③ 脅威の能力(Threat Capability)
脅威アクターが有する(又は調達できる)ターゲットに対して適用可能な攻撃能力を表します。
想定する脅威アクターのスキルそのものを把握することが重要ではありますが、近頃は、RaaS(Ransomware-as-a-Service)やAaaS(Access as a Service)、MaaS(Malware as a Service)というような攻撃をサポートするサービスにより複数の脅威アクターによる分業化が進み、また、ダークWeb上で攻撃マニュアルが公開されるなど、高度な攻撃に要求されるスキルが低下していることも考慮すべきだと考えます。
具体的には、次のような点を考慮し判断します。
脅威アクターのスキル
脅威シナリオで想定する脅威アクターのスキルそのものです。言い換えると、高度なスキルを持った脅威アクターが自組織をターゲットとして接触してくる可能性と言えます。例えば、自組織が重要インフラを担っていたり、高額な身代金支払い能力がある場合は、高度なスキルを持った脅威アクターにより狙われる可能性が高いと考えられるため、脅威アクターのスキルを高く見積もる必要があります。攻撃手法
脅威シナリオで想定する脅威アクターが使用すると思われる攻撃手法の種類です。例えば、MITRE ATT&CKなどのサーフェイスWebや攻撃者のコミュニティなどのダークWeb上で既知となっている攻撃手法やその亜種による攻撃を想定した場合、既知の情報を応用することによりスキル不足を補うことができるため脅威アクターの能力は上がります。
言い換えれば、既知の攻撃手法に関しては、ターゲットを守る側の組織においても事前に分析し、有効な管理策により対応することで、後述する「④ 抵抗力の強さ」を強化できるため、全体的なリスクレベルは下げることが可能です。リソース
脅威シナリオで想定する脅威アクターが使用すると思われるツールやサービスの種類です。例えば、脆弱性を起点とした脅威シナリオにおいて、その脆弱性を悪用するエクスプロイトが公開されている場合は、利用によりスキル不足を補うことができるため脅威アクターの能力は上がります。
エクスプロイトの公開有無に関しては、次のサイトなどで確認することが可能です。
ー KNOWN EXPLOITED VULNERABILITIES CATALOG (CISA)
ー Exploit Database (Offensive Security)
他に、ネット上の実証コード(PoC)を解析し、脆弱性の悪用の可能性(Expected Exploitability)をスコアリングし公開しているサイトもあります。
※)エクスプロイトの公開情報はダークWeb上のサイバー犯罪フォーラムでも調査することができますが、不要な危険を招く結果となる可能性もあるため、専門的な知識を有していない限り近づかない方が良いと思われます。
脅威シナリオで脅威アクターのスキルを想定する場合、主観的な立場で実施すると、例えば安全側にバイアスがかかり脅威の能力を必要以上に高く見積もったりするなど、正確な判断が難しくなることが考えられます。そこで、客観的な視点を入れた実施例を以下で説明します。
脅威アクターのスキルの分布を下図のように仮定した場合、脅威シナリオにおいて想定した脅威アクターがどの区分に位置付けられるのかという観点で考えると、その脅威の能力を理解することができます。脅威シナリオから脅威アクターのスキルを割り当てた例も併せて載せています。
④ 抵抗力の強さ(Resistance Strength)
脅威に対する抵抗力の強さを表します。具体的には、ベースライン管理策の中から対象となる脅威に関連する管理策を抽出し、その実施状況と有効性を確認します。
※)管理策の実施状況と有効性を確認する時には、各管理策の組合せによる相互補完も考慮した対象脅威に対する全体的な能力(Capability)を分析します。(ベースライン管理策とCapabilityについては、過去ブログが参考になります)
組織内の抵抗力の強さに関しては、ベースライン管理策が整備されていれば比較的容易に分析が可能だと思いますが、リスクアセスメントの範囲にサプライチェーン全体を含める場合は、範囲全体で管理策の実施状況を確認することになります。そのような場合、現状は、セルフチェック済チェックシートの回収や定期的な第二者監査の実施、若しくは、第三者監査結果の提出などにより実施されているのが一般的だと思われます。
⑥ 二次損失の発生頻度(Secondary Loss Frequency)
想定する事象が発生した場合に利害関係者に関連する二次損失が発生する可能性(起こりやすさ)を表します。例えば、次のような損失が考えられます。
- 社会的信用の失墜
個人情報保護などの法的な管理義務を果たしていないなど、組織の社会的な評判の失墜(レピュテーションリスク)の結果として、以下の二次的な損失の発生が考えられます。
- 事象とは直接関わりのない顧客の喪失(取引停止や競合他社への顧客流出)
- 株価などの企業価値の低下
- 社内のモラル・士気低下、要員からの訴訟、人材の流出、雇用難
- 株主代表訴訟 - 顧客との関係悪化
顧客から預かった機密情報や個人情報が漏洩した場合の訴訟や損害賠償請求
2-2)結果の分析
⑤ 一次損失の大きさ(Primary Loss)
リスクが顕在化した場合に、発生が想定される事象により組織が直接被る損失を表し、具体的にはサイバー攻撃によるシステム停止に伴う業務の停滞、BECによる不正送金などが挙げられます。一次損失には、事象発生後に必要になる調査や復旧・顧客対応に係る委託費用や社内工数なども含みます。
損失はその大きさと範囲の2つの視点で捉えられ、損失の大きさを試算する時の考慮事項としては、事象発生による業務の停滞、技術情報や営業秘密の流出による優位性の低下などが考えられます。
損失の影響範囲の試算は、組織内に限定され、外部の利害関係者への影響は、二次損失に含め検討します。例えば、ターゲットをドメインコントローラと想定した場合、影響が及ぶシステムの範囲を特定する必要があります。また、業務が停滞した場合も、納期遅延、営業機会の喪失などを含めどのような結果を招くのか考えなければなりません。
⑦ 二次損失の大きさ(Secondary Loss Magnitude)
「⑥ 二次損失の発生頻度」で検討した事象が発生した場合の損失の大きさを表します。大きさの試算方法は 、「⑤ 一次損失」と同様です。
なお、「顧客から預かっている機密情報」、「顧客の個人情報」などの情報を暗号化し、鍵を有効に管理(暗号化した情報とその復号鍵を同時に窃取されないような管理)しておくことにより、万が一、情報が窃取された場合でも、その情報が脅威アクターにとって意味のないものとなり、結果を変えられる可能性があります。
また、インシデント発生時に上記のような自組織におけるリスク対応の正当性(有効性)を時機を失さずに訴えることは、社会的な評判の低下を防ぎ、損害賠償や訴訟の結果にも好影響を与える可能性もあります。
起きてしまったインシデントは記録として残ります。現在は、情報化社会のため、その記録は組織に対する負の情報として、予想以上に長く残り続ける可能性があることも考慮した方が良いかもしれません。
また、リスク共有(リスク移転)としてサイバーセキュリティ保険へ加入することで一次損失を補填することが可能ですが、二次損失までを含めてカバーすることが出来ない可能性を考慮する必要があります。
2-3)リスクレベルの算定
①~⑥までの各要素の分析結果から、損失事象の発生頻度(想定した事象の起こりやすさ)と損失事象の大きさ(想定した事象によりもたらされる結果)を算出し、最終的なリスクレベルを算定します。
下表が組織内外の状況から特定したリスクに対し起こりやすさと結果を定性的に分析した実施例です。
上表の各リスクの分析結果をリスクマップにプロットすることによりリスクレベルを表すことができます。
まとめ
今回はリスク分析について考えてみました。せっかく網羅的にリスクを特定できていてもその大きさを正確に分析できないと精度の良いリスクマネジメントを実施することができません。しかしながら、何も基準がないと判断に迷うことになります。そのような迷いをなるべく払しょくするために、今回はFAIRを利用しリスク構造を見えるようにしました。このようなフレームワークを使うことで何もない状態で進めるよりもリスク分析を効率的、効果的に進めることができるようになると考えます。
参考資料
本稿は、以下のガイドラインを参考にしています。より詳細な情報を得たい、正確性を重視したい方は以下を参照して下さい。
- ISO/IEC DIS 27005:2021 Information security, cybersecurity and privacy protection — Guidance on managing information security risks
- JIS Q 27000:2019 情報技術−セキュリティ技術-情報セキュリティ マネジメントシステム-用語
- JIS Q 27001:2014 情報技術−セキュリティ技術-情報セキュリティマネジメントシステム-要求事項
- FAIR(Factor Analysis of Information Risk)
- JIS Q 31000:2019 リスクマネジメント-指針
- 共通脆弱性評価システム CVSS( Common Vulnerability Scoring System)
脚注
*1:例えば、営業秘密を含む情報は、保有している組織側の視点では保護すべき対象ですが、脅威アクターはターゲット(窃取する対象)として捉えています。
*2:重要なポジションに就く可能性のある者を雇用する際、採用予定者の債務状況(多額の債務を抱えると冷静な判断ができなくなり、不正の動機となり得ます)や犯罪歴、交友関係、飲酒・薬物使用歴などのバックグランドを詳細に調査する適性評価
*3:不要な情報及びその他関連資産を保有しないことは、最も有効なリスク回避策です。
*4:セキュリティリスクレイティングサービスを利用するなど、適切にアタックサーフェースマネジメントすることで実行の発生確率を低くすることが可能です。
