前回に引き続き、ITシステムのセキュリティ脅威分析についてお話します。
前回はいきなり、分析項目であるSTRIDE(なりすまし、改ざん、否認、情報漏えい、サービス拒否、権限昇格)といった代表的なセキュリティ脅威の説明を中心にお話ししました。これ以外に情報破壊、不正送信、盗聴を含む意図的脅威と呼びます。さらに、操作ミスや設定ミスという偶発的脅威と合わせて人為的脅威といいます。
これ以外にも地震、台風、火災といった自然的脅威、停電、漏水といったインフラの脅威を含む環境的脅威もあります。とはいえ、いきなりこの脅威の話から始めるわけではなく、分析には流れがあります。今回は今回はその流れの全体をざっとお話しします。
1.分析対象の決定と資産の洗い出し
第1ステップは脅威分析対象の決定と守るべき資産の洗い出しを行います。具体的には、最初に脅威の対象となるシステムを選定します。外部接続しているシステムが要注意ですが、社内でしか使わないものでも、重要度が高いものは留意する必要があります。
対象となるシステムが決まれば、その守るべき資産を検討していきます。対象機器本体はもちろん、データやソフトウェア等のソフト資産も洗い出します。
2.データの流れの可視化
第2ステップはデータの流れの可視化です。具体的には入力や出力のタイミング、場所、人などを洗い出します。要は、どのような箇所が脅威にさらされるのかを考えるという作業です。
DFDという手法で行います。これはData Flow Diagram の略でデータフロー図と呼ぶものです。難しそうに感じますが、4つの記号でデータの流れを表す商法です。情報源・情報出口(多くは人)、プロセス(作業)、データストア(保存場所)の3つをデータフロー(矢印)で結ぶといったものなので、慣れれば、割と簡単に書けるようになります。
コツとしては、詳細化と接続数のバランスです。全体の流れを書く場合と各業務を書く場合はわけるようにして、情報の出入口、作業、保存場所の数が10前後以下になるようにすると見やすいです。
3.脅威の洗い出し
第3は脅威の洗い出しです。これは、前回お話したSTRIDEが1つの手法です。あとは上記に記載したように偶発的脅威や自然的驚異、環境的脅威をどこまで検討するかです。システム開発がメインの目的になるなら、STRIDEだけでもいいと思います。運用まで考えるならば、内容に応じて検討範囲を広げてください。
脅威を当てはめるのは、DFDで書き出した4つの要素それぞれになりますが、システム開発の場合は、データフローとデータストアをチェック対象になります。
4.脅威を実現する攻撃手法
第4は脅威を実現する攻撃手法の検討です。ここはなかなか専門家でないと難しいところですが、サイバー攻撃の概要を紹介しているページはいろいろあるので、そこから該当する攻撃を選んでください。
それもちょっと難しいという場合は、毎年IPA(情報処理推進機構)が出している「情報セキュリティ10大脅威」の紹介ページに書かれている簡易説明資料の組織編に最近よくある攻撃手法が書かれているので勉強もかねて、読んでいただき、この中の攻撃だけでも検討してください。
5.リスク評価
第5ステップは、脅威の優先度をつけるためのリスク評価です。DREADという評価手法を使うのですが、ちょっと説明が長くなるので、次回お話しします。
簡単に説明しておくとそれぞれのリスクに応じて、各評価点に対して高中低の3段階評価を行い点数化を行います。その合計値をもって、脅威の優先度を決めるものです。高いほど脅威のリスクが大きいのできちんと対策を行うという流れです。
この後は対策となるので、脅威分析としてはここで一区切りとなります。