この章では、主に組織のセキュリティ分析を実施するために理解しておく必要のあるセキュリティのコンポーネントを定義する作業について説明します。さらに、組織が事前に資産分析を実施する方法について、一般的なガイダンスを示します。脅威、起こりうる損害、脆弱性、および対策の間の関係についても説明します。 トピックセキュリティ リスク管理のコンポーネント戦略的セキュリティ プログラムの必要性セキュリティとは、組織でのリソースの使いやすさを維持することと、リソースに対するアクセスを制御することとの間でバランスを取ることです。ユーザーと攻撃者の両方を制限するセキュリティ プログラムを組み立てる作業は、時間的にもコストの面でも大きな負担となる場合があります。セキュリティ プログラムの構築において制御を重視しすぎると、効率的な作業を制限するポリシーに、ユーザーが不満を感じることがあります。 逆に、セキュリティ プログラムが弱すぎると、ユーザー間で職場のセキュリティに対して無頓着な姿勢が生まれ、攻撃者に隙を見せてしまう可能性があります。その他の潜在的な政治問題を避けるためにも、セキュリティの重要性について社内でコミュニケーションをとっておくことが極めて重要です。セキュリティの憲章、ポリシー、および計画が "中途半端" に実装されると、後に問題が発生する可能性があります。情報技術 (IT) プロジェクトにとっては品質が命であり、"欠陥ゼロ" の考え方が根本原則ですが、社内で高いレベルのセキュリティを保証するには、これと同じ原則を適用することが必要です。 安全なインフラストラクチャを確立するために不可欠な成功要因には、効果的なセキュリティ リスク管理プロセスの開発が含まれます。効果的なリスクの識別、評価、管理、軽減、(対策の) 執行、および不測事態対応計画を通じて、所定のリスクが表面化する確率を下げることに貢献でき、また、セキュリティ リスクが発生した場合にも、影響を最小限に抑えることができます。 セキュリティに特有のリスク分析活動を実施することで、注意と行動計画を必要とする重要なセキュリティ問題を浮き彫りにできます。脆弱性を利用した脅威によって社内の資産に何らかの害が与えられたときに、セキュリティ リスクは発生します。軽減計画や不測事態対応計画を立てることで、セキュリティ リスク管理に対して先行型および反応型のアプローチを提供するためのセキュリティ ポリシーと手続きを策定できます。 テクノロジが進歩し、テクノロジを悪用した新しい方法が発見されるにつれて、組織のセキュリティ計画を実装、執行、および継続的に最適化する作業の重要性は高まりつつあります。セキュリティ プログラムは時間の経過と共に変更する必要があります。これは、この有効性を監視し、新しいポリシーや手続きを導入する時期を判断するために常に注目しておく必要があるためです。セキュリティ プログラムは、企業の環境にカスタマイズして作られたインシデント レスポンス計画を通じて、法的に発生する潜在的な結果についてもカバーする必要があります。これは、セキュリティ上の失敗について告訴されることが深刻な問題になる可能性があるためです。 必要なコストは、適切で明確な資産評価を行うことで、より容易に判断できます。軽減のための投資コストも、資産が害を受けたり危険にさらされた場合に資産に及ぶ可能性のある事象の潜在的な影響に照らして検討する必要があります。この目標の達成については、第 3 章「セキュリティ リスク管理の統制について理解する」で定義しており、コストとリスクの間で適切なバランスを取る作業を支援するために、この統制を使う方法を説明しています。 会社の機密データの損失が生産性や収益に深刻な影響を与える場合、これを確実に保護するために必要な投資は多額なものとなる可能性があります。データを損失しても企業に害が及ばないのであれば、このようなデータの保護には力を入れる必要がなく、保護のための投資は少額でも十分です。 セキュリティ リスクの評価プロセスにおいて取り組む必要がある 8 つの基本的な検討事項は、以下のとおりです。 | • | 資産に対するセキュリティ要件。システム、ネットワーク、アプリケーション、およびビジネス データなど、何らかのレベルの保護を必要とする、企業のインフラストラクチャにおけるコンポーネントをすべて定義します。対策または予防手段の計画を適切に立てるには、定量的方法および定性的方法の両方を用いて資産を評価する必要があります。 | | • | 脅威の分析。弱点の利用について既知の項目のリストを作成し、それぞれから生じる潜在的脅威の可能性を判断します。"弱点の利用" とは、環境における脆弱性を利用するために、脅威によって用いられる可能性がある手段です。脅威の分析を適切に行うには、環境におけるトップの脅威エージェントをまとめたリストが必要です。脅威とは、環境内の情報またはシステムに対する潜在的な危険のことです。脅威エージェントとは、ファイアウォール上の脆弱なポートを通じてネットワークを攻撃する者またはこのプロセス、あるいはセキュリティ ポリシーに違反した方法でデータにアクセスするために使われるプロセスのことです。 | | • | 起こりうる損害の識別。識別された各脅威によって生じる資産損失の割合を分析します。各起こりうる損害の潜在的な価値の損失を識別および定義することは、セキュリティ リスクの分析において極めて重要なコンポーネントです。 | | • | 脆弱性の評価。何らかのレベルの保護を必要とする資産に対して使用可能なあらゆる既知の脆弱性の包括的なリストを作成します。脆弱性とは、情報システムまたはこのコンポーネントにおける弱点であり、悪用される可能性があるものを指します (システム セキュリティの手続き、ハードウェアの設計、ソフトウェアの設計、および内部制御など)。 | | • | 対策の開発。ビジネスとして十分に合理的で適切なセキュリティ リスク対策を開発します。つまり、社内の資産を保護するための費用効果の高い対策のことです。 | | • | 侵入テスト。許可のない個人が企業にアクセスできる方法を識別するために、侵入テストを使います。一般的な侵入テストの方法は、以下のとおりです。 | • | 外部からのリソース スキャンにより、危険にさらされる可能性のある標的を識別する。 | | • | war ping を使ってセキュリティで保護されていない IP アドレスを識別する。war ping は、IP 番号の範囲を検索したり、使用中の番号、または、設定された時間内に応答を返す番号を検索する目的でハッカーが使うツールです。結果は .csv ファイルとして保存してデータベースにインポートできます。 | | • | 機密情報を偶然に提供することがあるパスワードまたは何らかの形式のセキュリティ情報を漏洩するように騙すことができる個人を見つけ出すためのソーシャル エンジニアリング。 | | • | 施設に対する物理的なアクセスが容易に得られるかどうかを判断するための侵入を構築する。 |
|
これらのテストは、セキュリティ ポリシーに対する企業の注意力を高めるために有用です。侵入テストを実行する際に検討すべき最重要項目の 1 つは、テストを実施する外部のエージェントとして、評判のよい業者を見つけることです。 | • | インシデント レスポンス。優れたインシデント レスポンス計画は、自社に対する攻撃についての理解が進むにつれて、従うべき具体的な手続きの概略を示してくれます。一般に、攻撃の兆候が持つ性質により、セキュリティ プログラムに定義されている手続きに従う順序が決まります。時間が極めて重要な要因であるため、一般的には、まず短時間で済む手続きを試してみることをお勧めします。 | | • | 資産の安全を守るための作業の範囲。"十分な" セキュリティを提供し、インフラストラクチャ全体を企業のサポートとエンド ユーザーの視点から見て使用可能な状態に保つのに必要な時間、労力、および予算を含む総合的な作業量を定義します。所定の予防手段に対する費用便益分析は、企業の総運用コスト (TCO) または投資収益率 (ROI) に対する資産を踏まえた、適切なセキュリティ リスク分析から得ることが必要です。 |
資産企業の環境において、何らかのレベルの保護を必要とするものはすべて資産であると言えます。資産には、ソフトウェアやハードウェアのように貸借対照表に記載される品目をはじめ、データや人材など、比較的実体を掴みにくいものも含まれます。セキュリティの目的は、資産が危険にさらされるのを防ぎ、データの機密性、整合性、および可用性を守ることです。どの企業も、データを改ざんされるという、多くの有害なリスクについて懸念しています。これは、ビジネス データの整合性を損なうからです。 IT セキュリティ リスク管理における 1 つの重要な側面は、社内の主要な資産のそれぞれの価値、各資産が有する情報の価値、および環境内における資産間の関連を判断することです。たとえば、会社の Web サーバーから重要なビジネス データが危険にさらされた場合、会社の価値が下がるおそれがあります。あるいは、ルータが危険にさらされると、すべての支社が主要なデータ センタに接続される可能性があります。 各資産の総合的な関連価値によって、各資産に十分な保護を与えるのに必要なセキュリティのレベルに基づき、これをセキュリティで保護するための時間、労力、およびコストが決まります。資産には、関連づけられたレベルの依存性が含まれる場合があります。これらのリソースがどのようにして認証されるのか、または各資産やこれが公開するデータに対するアクセスがどのようにしてユーザーに承認されるのかを考えてみてください。たとえば、CIO のポータブル コンピュータのパスワードが弱いと、これが危険にさらされた場合に多大な金銭的リスクに及ぶ可能性があります。 資産そのものも、それぞれが必要とする保護措置に従って分類する必要があります。保護措置には、以下のものがあります。 | • | 予防—資産が損傷、改ざん、または盗難に遭うことを防止する措置。予防措置には、サーバー ルームのドアのロックから、高いレベルのセキュリティ ポリシーの設定まで、さまざまなものがあります。 | | • | 検出—資産が損傷、改ざん、盗難、またはその他の方法で危険にさらされた場合に、これを検出できるようにする措置。検出措置には、資産がどのようにして危険にさらされたのか、および具体的に誰が損害を引き起こしたのかを判断するための機構も含まれます。侵入、損害や改ざん、およびウイルスの検出を支援するために、さまざまなツールを利用することができます。 | | • | 反応—資産が喪失または損傷した場合でも、資産の回復を可能にする措置。 |
これらの保護措置の分類は、さまざまなタイプの対策と統合する必要があります。対策または予防手段によって、資産が危険にさらされる潜在的なリスクを軽減できます。対策は、コンピュータ環境の脆弱性を除去したり、または脆弱性を利用する脅威のリスクを軽減したりするためのものです。 自社の資産を保護する対策を立てるには、まず、関連する脅威とリスクを定義することによって、資産が危険にさらされる仕組みを理解する必要があります。以下のリストには、会社の資産を保護するセキュリティ プログラムを開発する際に考慮すべき 5 つの原則が挙げられています。各原則は、各社のニーズに従って評価する必要があります。 | • | 機密性。機密性は、情報へのアクセスをアクセス権を持つ者だけに限定することで維持される状態です。機密保持により、データ処理の各接続点で必要なレベルの秘密が確実に保たれ、不正な開示が防止されます。不十分なセキュリティ対策の一例として、人事部のファイル共有などの機密情報に対するアクセスを匿名ユーザーに許可してしまうことがあります。 | | • | 整合性。整合性とは、情報と処理方法の正確性と完全性を守ることです。システムの環境内で情報の正確性と信頼性を維持し、データの不正な改ざんを防止できれば、整合性を保つことができます。システム内に不正なデータを保存することは、データの損失と同程度の深刻な被害をもたらす場合があります。 | | • | 可用性。可用性とは、情報またはリソースの不正な差し止めを防ぐことです。可用性は、許可された個人に対してデータとリソースへのタイムリーなアクセスと信頼性を保証します。 | | • | 認証。認証とは、ユーザーがシステムにログオンする際に、本人であることを確認するためのプロセスです。一般に、認証はユーザー名とパスワードによって行われます。より高度な認証方法として、スマート カード、または、指紋や網膜走査などのバイオメトリクスを使用するものもあります。 認証プロセスによって、ユーザーにリソースへのアクセス権が与えられるわけではありません。アクセス権は承認プロセスを通じて付与されます。認証を失うと、誰が資産にアクセスしようとしているのかを判断する手段がなくなります。 | | • | 承認。承認とは、個人に与えられる権利、または、システムとシステムに保存されるデータを使用するプロセスのことです。承認は通常、システム管理責任者が設定し、環境内のコンピュータによって確認されます。確認は、暗証番号 (PIN)、コード番号、またはパスワードなど、何らかの形のユーザー ID に基づいて行われます。 承認プロセスは、適切なセキュリティ機関を使って、ユーザーにリソースへのアクセスを認めるかどうかを決定します。承認を失うと、資産へのアクセスを誰に許可すべきかを判断する手段がなくなります。 |
脅威、起こりうる損害、脆弱性、および対策の間の関係脅威エージェントが脅威を発生させ、脆弱性を利用した場合、攻撃は潜在的にセキュリティを危険にさらすことになります。攻撃は機密性、整合性、または可用性を低下させることで、資産に損害を与える可能性があります。したがって、攻撃は会社の損失に対する起こりうる損害を発生させることになります。ただし、対策を講じることでこれらの起こりうる損害を最小限に抑えることができます。 たとえば、会社がウイルス対策ソフトウェアをサーバーにしかインストールしておらず、このウイルス定義ファイルが更新されていない場合、脆弱性が発生します。会社はウイルス攻撃を受けやすくなり、ウイルスが環境内に侵入して生産性を低下させる危険にさらされます。 リスクとは、ウイルスが環境内に侵入して損害を発生させる可能性のことです。ウイルス攻撃によってデータが喪失したり、改ざんされたりする可能性があるため、会社は今や、起こりうる損害を持っていることになります。この状況への対策は、環境内のすべてのコンピュータにウイルス対策ソフトウェアをインストールし、すべてのコンピュータ上で常に定義ファイルを更新することです。 セキュリティ管理の用語は難解な場合があります。以下の表は、セキュリティ管理の主要なセキュリティ コンポーネントに関する統一見解を示したものです。 表 2.1 主要なセキュリティ コンポーネント 脅威 | 脅威とは、情報またはシステムに対する潜在的な危険の一切を意味します。 | 脅威エージェント | 脅威エージェントとは、ファイアウォール上の脆弱なポートを通じてネットワークを攻撃する人物もしくはプロセス、またはセキュリティ ポリシーに違反する方法でデータにアクセスするために使われるプロセスのことです。 | 脆弱性 | 脆弱性とは、攻撃者または脅威エージェントに、コンピュータまたはネットワークに侵入して環境内のリソースに不正にアクセスする機会を与える可能性のあるソフトウェア、ハードウェア、または手続き上の弱点のことです。 | リスク | リスクとは、脅威の要因が脆弱性を利用する可能性のことです。損失が発生する可能性、または脅威が脆弱性を利用する確率を意味します。 | 起こりうる損害 | 起こりうる損害は、脅威エージェントが会社の資産を潜在的な損失の危険にさらす時に発生します。脆弱性によって、組織が損害の危険にさらされる可能性が発生します。 | 対策 | 対策または予防手段はリスクを軽減します。対策には、脆弱性を除去したり、または脅威エージェントによって脆弱性が利用されるリスクを軽減したりするソフトウェアの構成、ハードウェア、または手続きが含まれます。 |
脅威、脆弱性、およびリスクの間の関係は、最初は理解しづらいコンセプトかもしれません。組織内で識別されたそれぞれの脅威と脆弱性は、低、中、高などの基準に従って分類およびランク付けする必要があります。ランク付けは組織ごとに異なり、場合によっては、組織内でも異なることがあります。たとえば、大きな断層線の近くにあるオフィスの場合、地震発生の脅威はその他の場所のオフィスよりも格段に大きいと言えます。同様に、設備が物理的な損傷を受ける脆弱性は、非常にデリケートな電子機器を生産する会社では極めて高いと考えられますが、同一レベルの脆弱性であっても、建設会社にとっては低いものである場合があります。 リスク管理マトリックスは、脅威および脅威が企業に与える影響を評価するのに役立ちます。下図に示されるように、企業内におけるリスクのレベルは、脅威と脆弱性のレベルと共に上昇します。  図 2.1: リスク管理マトリックス リスク管理マトリックスは、次の方法でツールとして使用できます。たとえば、企業が 2 つの異なるタイプの Web サイトを持っているとします。これは、ボランティアの非営利情報サイトと、顧客のために END-TO-END の販売取引を行う金融サービス取引のためのサイトであるとします。 各 Web サイトのリスク レベルはそれぞれ異なります。たとえば、情報サイトでは、盗まれたり損害を受けたりした場合に事業運営に支障をきたすような不可欠な情報が掲載されているわけではないので、脅威のレベルは低くなります。このような情報サイトは、現行のサービスパックと修正プログラムがサーバーに展開されていれば、脆弱性のレベルは低くなります。したがって、情報サイトは Low Risk の区分に位置します。 他方、金融サービスのサイトは、Medium または High Risk の区分に入ります。金融データが危険にさらされたり盗まれたりした場合に、攻撃者は大きな利益を手にすることがあるため、脅威のレベルが高くなるのです。しかし、Web サーバーが適切なサービスパックと修正プログラムを備える場合、この Web サイトの脆弱性は少し軽減され、Medium Risk の区分に入る可能性があります。Web サーバーのサービスパックと修正プログラムが最新でない場合は、Web サイトの脆弱性は極めて重大なものとなり、High Risk の区分に入ります。 下図は、組織への攻撃において使用される可能性のあるさまざまな脅威、動機と目標、方法、弱点の利用、および脆弱性を判断するために使用できる理論モデルを示したものです。  図 2.2: 資産が危険にさらされる経緯 上図は、脅威エージェントがどのようにして資産を危険にさらすかを論理的に順序だてて単純に示したものです。3 種類に分類された脅威が、図の左端に示されています。脅威の分類により、攻撃者が誰なのか、またはどの脅威エージェントが攻撃を開始しつつあるのかが識別されます。これらの 3 つは悪意のない脅威、悪意のある脅威、および致命的なインシデントです。 脅威エージェントは通常、資産を危険にさらそうとするときに、金銭的な利益の獲得などの達成したい目標と動機を持っています。脅威エージェントは、特定のツール、テクニック、および方法を使って資産のセキュリティにおける何らかの脆弱性を利用します。図中の矢印は、攻撃者が資産を危険にさらそうとするときに、進む可能性のある道筋と、利用する可能性のある脆弱性を示したものです。 脅威の分類脅威とは、リソースにアクセスして害を及ぼす潜在性を持つ人物、場所、または物のことです。脅威の主な発生源は、人間と致命的なイベントです。続いて、人間の脅威は、悪意の有無により 2 つのカテゴリに分類できます。悪意のない "攻撃" は通常、コンピュータに関して十分な訓練を受けておらず、さまざまなコンピュータ セキュリティの脅威を認識していないユーザーや従業員を発生源とします。悪意のある攻撃は通常、達成したい特定の目標または目的を持つ部外者、または不満を持つ現役の従業員あるいは元従業員を発生源とします。 表 2.2 脅威のタイプ 致命的なインシデント | 火災、水害、暴風、地震、停電、テロ攻撃 | 悪意のない人物 | 知識のない従業員、知識のないユーザー | 悪意のある人物 | 攻撃者、産業スパイ、政府、贈収賄、ソーシャル エンジニアリング |
致命的なインシデント 極端な天候、自然現象、または致命的なインシデントに関連する一切の出来事は、企業のインフラストラクチャに深刻な損害を与える可能性があります。情報の喪失、ハードウェアの損傷、生産性の損失、ならびに不可欠なサービスが阻害されることがあります。 残念ながら、致命的なインシデントの潜在性を軽減するために実装できる予防策は、非常に限られています。これらのタイプの脅威に対する最善のアプローチは、損失の影響を最小限に抑えるために、障害回復計画と不測事態対応計画を準備しておくことです。これらの計画を備えて、いつでも使える状態にしておけば、企業ができるだけ早く "以前の状態" に回復して、正常な業務を再開するのに役立ちます。天災のほかに、暴動も含まれます。これは、暴動の際に情報資産の損失を防いでくれる効果的な不測事態対応計画を立てることが難しいと考えられるためです。 機械の故障 機械に関する脅威は、よく見落とされることがあります。これには停電、ハードウェアの故障、およびネットワークの停止などが含まれます。これらの脅威から生じる脆弱性の予防は、多くの場合、適切な計画を立てることで実装できます。 ハードウェアのクラスタリング、データ センタ用の冗長パワー トランク、および信頼性の高いネットワーク設計は、機械が故障する可能性のある社内の単一点での障害をなくすのに役立ちます。しかし、これらの対策の実装には極めて多額の費用を要する場合があるため、資産にこのような方法を使うほどの価値があるかどうかを慎重に評価する必要があります。 機械に関する脅威を軽減することで、新しいセキュリティ リスクが発見される可能性があります。軽減の手順により、攻撃を受ける面が増える可能性があるためです。攻撃を受ける面とは、システムへの潜在的なエントリ ポイントの数という観点から資産を見たものです。コンピューティング資産に機能を追加することで、新たなセキュリティの脆弱性が明らかになることが頻繁にあります。ただし、機械に関する脅威そのものは、従来のセキュリティ プロジェクトでは大きな懸念材料ではないので、このガイドでも範囲外とみなします。 人間の脅威 人間の脅威は、悪意の有無により 2 つに分類されます。悪意のない脅威でも、通常のユーザー エラーにより、データの整合性に大きな問題を引き起こす可能性があります。ソフトウェアの障害、データ入力エラー、および管理上のミスなどが、すべてこのカテゴリに入ります。 悪意のある攻撃 悪意のある脅威を構成するのは、不満または悪意を持った現役従業員と元従業員、または社外の人物による攻撃です。内部者は、特定の目標と目的を持っている場合が多く、通常、環境内のシステムに対して何らかのレベルの合法的なアクセス権を持っています。従業員は、どのような脆弱性や弱点の悪用によって組織に最大の損害が与えられるかについて知識を持っていることも含め、会社のコンピュータやアプリケーションに最も通じているグループです。この種の攻撃は、発見も防御も極めて困難です。 悪意を持つ内部者は、特定の目標と目的を持っている場合が多く、通常、システムに対する合法的なアクセス権を持っています。悪意を持つ内部者の攻撃は、コンピュータ セキュリティまたはアプリケーションのすべてのコンポーネントに影響を与える可能性があります。悪意を持つ内部者によって扇動されるその他のタイプのセキュリティ犯罪には、賄賂やソーシャル エンジニアリングに関わるものがあります。 ソーシャル エンジニアリングとは、人を騙してパスワードまたは何らかの形式のセキュリティ情報を漏らすように仕向けるプロセスのことを言います。多くの場合、こうした行動は気づかれません。これは、監査記録が不十分であるか、または調査が実施されないためです。 悪意を持つ攻撃者は、ソーシャル エンジニアリングを使って従業員を騙し、環境に侵入する場合もあります。たとえば、攻撃者は管理責任者を装って、パスワードとユーザー名を尋ねることがあります。十分な訓練を受けておらず、セキュリティの意識に乏しい従業員であれば、この方法で騙されてしまう可能性があります。 不満を持つ従業員は、迷惑程度で済めばともかく、最悪の場合は社内で破壊行為を働く場合があります。元従業員よりも現役従業員の方が、実際に大きな損害を与える可能性があります。 悪意のない攻撃 組織に害を与えるのは攻撃者だけではありません。データの整合性に対する主な脅威は、自分の行為を認識していない認証ユーザーから発生します。エラーやミスは、組織の貴重なデータの損失、損害、または改ざんを招くことがあります。 エラーとミスは、データの整合性にとって重要な脅威です。エラーは、毎日多数の取引を処理しているデータ入力の事務員だけでなく、データを作成および編集するすべてのユーザーが引き起こします。多くのプログラム、特に、ユーザーがコンピュータ用に設計したものは、適切な品質管理対策を欠いています。しかし、どんなに高度なプログラムでも、あらゆるタイプの入力エラーやミスの影響を防ぐことはできません。 "障害" と呼ばれることの多いプログラミングと開発上のエラーは、いらいらする程度のものから致命的なものまで重大性に幅があります。ソフトウェアの品質が改善したために、この脅威は軽減されましたが、根絶されてはいません。インストールやメンテナンス時のエラーもセキュリティ問題を発生させる場合があります。 組織は、自社のコンピュータ システムが受け取る情報プログラムの正確性を実際よりも高く評価してしまいがちです。多くの企業は、自社のコンピュータ セキュリティ、ソフトウェアの品質、およびデータの品質に関わるプログラムのエラーとミスの問題に、セキュリティ ポリシーを実装することで対処します。 脅威の分類 脅威の分類には、実際に数百種類の方法があります。マイクロソフトは、以下に述べる悪意ある脅威のタイプを分類するために、STRIDE という方法を開発しました。STRIDE とは、Spoofing identity (ID なりすまし)、Tampering with data (データの改ざん)、Repudiation (否認)、Information disclosure (情報の漏えい)、Denial of service (サービス拒否)、Elevation of privilege (権限の昇格) の略語です。この方法の各コンポーネントを以下に定義します。 ID なりすまし ID なりすましによる脅威には、ユーザー名またはパスワードなど、他人の認証情報を不正に入手、アクセス、および使用するために行われる一切の行為が含まれます。 データの改ざん データの改ざんによる脅威には、悪意あるデータ改変が含まれます。たとえば、Web サイトを読めなくするといった永続的なデータの不正な改変、データベースに保存されている情報の不正な改変、またはオープン ネットワークを介した 2 台のコンピュータ間のデータの不正な改変などが含まれます。 否認 否認による脅威は、ある行動を否定するユーザーに関するもので、行動が否定されても、他の当事者には否定できないことを証明する手段がありません。たとえば、禁止操作を追跡できないシステムにおいて、あるユーザーが不正な操作を行うことが考えられます。非否認とは、否認による脅威に対抗するシステム能力のことです。たとえば、ある品物を購入するユーザーは、これを受け取る際に署名が必要な場合があります。販売店は、署名された受取証をユーザーが確かに品物を受け取った証拠として使用できます。 情報の漏えい 情報の漏えいによる脅威には、アクセス権を持っていないはずの個人に情報をさらしてしまうことが含まれます。たとえば、ユーザーがアクセス権を持たないファイルを読めるようにしたり、2 台のコンピュータ間を移動中のデータを侵入者が読めるようにしたりすることが考えられます。 サービス拒否 サービス拒否 (DoS) 攻撃は、正当なユーザーに対するサービスを混乱させます。DoS による攻撃の目的には、Web サーバーを一時的に利用不能の状態にすることが含まれる場合があります。あるタイプの DoS による脅威に対して防御策を講じることで、システムの可用性と信頼性の改善に役立つ場合があります。 権限の昇格 このタイプの脅威では、権限を持たないユーザーが特権的アクセスを得た結果、システム環境全体を危険にさらしたり、場合によっては破壊することさえあります。これらの脅威には、攻撃者がシステムの防御すべてを事実上破り、システムの弱点を悪用して損害を与えるという状況が含まれます。 攻略手段組織の環境の脆弱性を悪用する脅威によって、資産にアクセスされる場合があります。以下の表は、"攻略手段" の主な 3 つのタイプについて例を示したものです。 表 2.3 "攻略手段" のタイプ テクニカルな脆弱性の悪用 | 辞書攻撃
バッファ オーバーフロー
構成の間違い
リプレイ攻撃
セッションのハイジャック | 情報収集 | アドレスの識別 ドキュメントのグラインディング
OS の識別
ポートのスキャニング 応答の分析
ソーシャル エンジニアリング
サービスとアプリケーションの調査
ユーザーの列挙
脆弱性のスキャニング
ワイヤレス リーク | サービス拒否 (DoS) | 物理的損害
リソースの削除
リソースの改ざん
リソースの飽和 バッファ オーバーフロー |
例: 悪意のある攻撃者による攻略行為 情報の削除と改ざん 情報を削除または改ざんする悪意のある攻撃者は、一般的に、発生する事柄によって何かを証明したり、恨みを晴らしたりすることを願っています。悪意を持つ内部者は、企業に対する腹いせから行動するのが一般的です。何かに不満を抱いているのです。しかし、部外者の場合は、攻撃が可能であることを証明するだけの目的で攻撃を仕掛けたり、行為を自慢したい気持ちだけで攻撃したりする場合もあります。 詐欺行為と情報の窃盗 情報技術は、詐欺と窃盗の道具でもあり標的でもあるという性格をますます強めつつあります。金融システムが適切に設計され、制御されていれば、詐欺の防止に必要な法律または報告の要件をサポートできます。標的となるのは、金融システムの環境だけではありません。会社のその他の標的には、信用機関または身分証明機関、出勤時刻管理システム、在庫システム、学校の評点システム、または長距離電話の料金請求システムなど、個人情報へのアクセスを制御する環境を持つものが含まれます。 多くのコンピュータは比較的小さく、高価であるため、物理的な窃盗は容易です。ハードウェア資産そのものは代替が利きますが、そこに保存されているデータにクレジット カードの番号や患者の病歴が含まれていれば、こちらの方が遥かに貴重です。窃盗を不可能にすることはできませんが、設備投資の保護を向上させるために、社内のコンピュータの保護を目的にデスク ロックなどの対策を用いることができます。コンピュータが盗まれると、この中の情報は盗人の自由になり、消去されたり読まれたりする可能性があります。しかし、暗号化して盗人がこれを解読するためのキーにアクセスできないように確実な対策を講じれば、事実上、盗まれた情報が使用される心配はありません。 正常な業務の妨害 攻撃者は、正常な業務を妨害したいと考える場合があります。たとえば、昇進が却下されたことに不満を持つ従業員が働きたくないと思っている場合に、嫌がらせ行為として妨害を実行する可能性があります。 または、外部の攻撃者は、競争から発展する世界で競争力を得るために、サービスを妨害したいと考える場合があります。加害者が、単に面白半分に攻撃を行うことも考えられます。これらのどの状況においても、攻撃者は、具体的な達成目標を持っており、これを実現すれば、何らかの満足感や報酬を得ることになります。攻撃者は、DoS 攻撃を行うために、いくつかの方法を使うことが考えられます。第 3 章「セキュリティ リスク管理の統制について理解する」の中の「脅威の分析」に関するセクションでは、DoS 攻撃を実施する方法、ツール、およびテクニックについて説明しています。 攻撃の方法脅威の誘因 + 攻略方法 + 資産の脆弱性 = 攻撃 この式における攻撃方法は、上記の図 2.2 で説明した攻撃から、組織が守る必要のある脆弱性を利用します。悪意ある攻撃者は、以下を含め、数々の方法でアクセス権を得たり、サービスを妨害したりすることがあります。 | • | ウイルス、トロイの木馬、ワーム | | • | パスワード クラッキング | | • | DoS 攻撃 | | • | 電子メールのハッキング | | • | 悪意のあるコード | | • | パケット リプレイ | | • | パケットの改ざん | | • | 盗聴 | | • | ソーシャル エンジニアリング | | • | 侵入攻撃 | | • | IP なりすましとセッションのハイジャック |
脆弱性脆弱性とは、資産が脅威を受けやすいポイントのことです。弱点と考えられることもあります。脆弱性は、テクノロジ、人間、またはプロセスから発生する可能性があります。多くの場合、脆弱性は、ソフトウェアまたはハードウェアの実装、あるいはシステムの設計または構築方法における技術的な欠陥と考えられます。定義や伝達が不十分な組織のポリシーや手続きにも脆弱性があると言えます。 加えて、脆弱性は、悪意を持つ攻撃者がネットワークやネットワーク上のリソースへのアクセスを得るために悪用する、セキュリティの弱点または抜け穴でもあります。理解すべき重要な点は、脆弱性とは攻撃そのものではなく、悪用される弱点であることです。 以下は、考えられる脆弱性のリストです。これらは、存在する多くの脆弱性の中のごく一部の例にすぎませんが、物理的なセキュリティ、データやネットワークのセキュリティの分野における例が含まれています。 表 2.4 脆弱性のタイプ 物理的 | 施錠されていないドア | 自然 | 断層線上に建てられた社屋 | ハードウェアとソフトウェア | ウイルス対策ソフトウェアやオペレーティング システムの修正プログラムが古い | メディア | 混信 | 通信 | 暗号化されていないプロトコル | 人間 | 定義が不十分な手続きや品質の低いアプリケーション |
リスクリスクとは、脅威エージェントが脆弱性を利用する可能性であり、また脅威が脆弱性を利用する確率、すなわち、損失の潜在性のことです。ファイアウォールに開いたポートが存在する場合、侵入者がポートの 1 つを使い、不正な方法によってネットワークにアクセスするリスクは高くなります。 環境内のユーザーが、プロセスや手続きについて訓練を受けていない場合、従業員がミスを犯してデータを無意識に破壊してしまうリスクは高くなります。侵入検出システムがネットワークに実装されていない場合、攻撃に気づかずに、気づいた時には手遅れとなるリスクが高くなります。脆弱性または脅威エージェントの数を減らせば、リスクを抑えることができます。 対策対策または予防手段は、潜在的なリスクを軽減します。対策とは、配備することで脅威と脆弱性に歯止めをかけて、コンピュータ環境におけるリスクが軽減されるようなソフトウェアの構成、ハードウェア、または手続きなどを指します。 対策の例には、強力なパスワード管理、セキュリティ ガード、オペレーティング システム内のアクセス管理機構、BIOS (basic input/output system) パスワードの実装、セキュリティ意識向上のための研修などが含まれます。 会社がサーバー上にしかセキュリティ修正プログラムを持っておらず、修正プログラムが更新されていない場合、このことが脆弱性となります。脅威とは、悪意の有無を問わず、環境内に現れて生産性を阻害するユーザーのことです。最新の修正プログラムがなければ、システムは保護されず、この起こりうる損害によってデータが損失または破損する可能性があります。この状況での対策は、社内のすべてのコンピュータに必須とされているサービスパックのすべてをインストールしてから、サービスパックに含まれていない修正プログラムのすべてを使って環境を更新することです。脅威、脆弱性、および対策の間の関係は、下図に示すとおりです。  図 2.3: セキュリティ コンポーネント間の関係 CSI (Computer Security Issues) と FBI (連邦捜査局) サンフランシスコ支局によるコンピュータ侵入対応部隊 (Computer Intrusion Squad) の調査では、コンピュータ犯罪のさまざまなタイプが非常に詳しく研究されています。CSI と FBI の調査結果は、未処理の情報として取り扱う必要があります。これらの調査は、サイバー犯罪の新傾向を常に把握しておくための情報資源を提供してくれます。 まとめこの章では、セキュリティ分析における最も重要なコンポーネントと、これを企業の環境内で実践するために必要な主なプロセスの概要を紹介してきました。脅威、起こりうる損害、脆弱性、および対策の間の関係を理解することは、企業が効果的なセキュリティ対策を達成するために不可欠です。 詳細情報コンピュータ犯罪については、以下を参照してください。http://www.gocsi.com/press/20020407.html 脅威の評価については、以下を参照してください。『Threat Assessment of Malicious Code and Human Threats』(Lawrence E. Bassham & W. Timothy Polk 著、米国立標準技術研究所 (NIST) Computer Security Division) (http://csrc.nist.gov/ ) 情報のセキュリティにおけるベスト プラクティスについては、以下を参照してください。http://www.iso-17799.com/ ハッキングについては、以下を参照してください。http://www.hackingexposed.com/ Microsoft TechNet が提供しているセキュリティの脅威に関する情報については、以下を参照してください。http://www.microsoft.com/technet/archive/security/bestprac/bpent/sec1/secthret.mspx 米国立標準技術研究所 (NIST) が提供している資産の評価に関する情報については、以下を参照してください。http://csrc.nist.gov/asset/
| 
