[ トピックス ]
(2017/10/31 05:00)
脅威分析とリスク評価
前回、セキュリティ対策の手順の全体像と最初の手順として、攻撃から守るべき情報、制御、機能、資産を列挙する手順を紹介した。今回は2つめの手順として脅威分析とリスク評価を紹介する。
【図】にある表のように、守るべきものとそれに対する脅威、それを具体化する方法、前提や条件、起こったときの深刻さ、起こりそうな頻度をまとめるのが今回紹介する手順である。その結果を使って、どのくらいコストをかけて対策すべきかを検討する。
-
【図】脅威分析とリスク評価
脅威分析は、守るべき情報、制御、機能、資源をどのように攻撃できるかを細かく調査する。攻撃者の立場から、守るべきものをどのように攻撃できるかを脅威として表す。脅威は期待する状態(本来あるべき姿)からの逸脱なので、HAZOP(HAZard and OPerability Studies)のように逸脱状態を想定して安全を分析するのと原理的には同じである。
代表的な分析方法「STRIDE」
すでに設計に関する情報があれば、設計で定義された構成要素(サブシステム)を経由してどのように守るべきものを攻撃できるかを考える。設計情報があるときの代表的な脅威分析の方法として、STRIDEがある。STRIDEは攻撃の方法の頭文字を並べたものである。その頭文字は、なりすまし(Spoofing)、改竄(かいざん、Tampering)、否認(Repudiation)、情報の漏洩(ろうえい、Information disclosure)、妨害(Denial of Service)、権限昇格(Elevation of privilege)である。
たとえば、住宅内に設置する音声認識マイクでエアコンをはじめ家電を操作するサービスを例にとって説明する(【図】中の表)。攻撃から守るべきものには、エアコンの制御が含まれる。制御の一つとしてエアコンの電源を操作することを目的として、攻撃者が正当な権限のある利用者(持ち主)になりすますための方法、前提、条件を考える。
正当な権限のある持ち主になりすますための方法の一つは、住宅内に侵入することを前提として、音声で操作することである。他にもマイクの近くにテレビやスマートフォンなどの音声が再生できる装置があり、それを乗っ取ることができればその再生装置から音声を再生する方法も考えられる。少し極端ではあるが、持ち主の声のマネができる九官鳥がマイクの近くにいて、その九官鳥に何らかの方法で指示ができれば、それも脅威になり得る。
こうして、攻撃者がなりすましによって家電の制御を奪う方法とその前提、条件を列挙する。同様に、何らかの情報を改竄することで家電の制御が奪えないかを分析し、明らかにしていく。これらを表形式でまとめることで、攻撃方法やそれが成功する前提や条件を分析できる。
設計情報がない場合や確定していない場合には、守るべき情報、制御、機能、資源を対象としてどのような脅威があるかを分析する。情報は漏洩と改竄、制御、機能は奪取、妨害、資源は窃取、浪費といった望ましくない状態を想定し、それを起こすための方法、設計情報がなくても挙げられる場合には、それが成功する前提や条件を挙げる。
頻度と深刻さ見積もる
脅威分析が終わったら、個々の脅威に対するリスクを評価する。それぞれの脅威がどのくらいの頻度で起こるか、起こったとするとどのくらいの深刻さになるかを見積もる。この部分はFMEA(故障モード影響解析)と同じように考えることができる。脅威が起こる原因は人的な要因であり、自然現象とは異なるので、故障モードでの見積もりと比べると難しいが、3段階評価等で決めていく。
最後に守るべきものの貴重さを加味すれば、脅威が実際に起こるかどうかを示すリスク評価ができる。先の音声認識マイクでエアコンを制御する例だと、メーカーのデモンストレーション用であったり、有名人の自宅のエアコンであったりすると、通常のものと比較して頻度が大きくなる可能性がある。
次回は、こうした深刻さと頻度を加味し、リスク評価の結果を勘案して対策する方法を紹介する。
(毎週火曜日掲載)
【著者プロフィール】
森崎 修司(もりさき・しゅうじ)名大院情報学研究科准教授。01年奈良先端大情報科学研究科博士後期課程修了後、情報通信企業においてソフトウエア開発、通信サービスの研究開発に従事し、無線ICタグに関わるソフトウエアの国際標準化に携わる。13年より現職。実証的ソフトウエア工学の研究に従事する。情報処理推進機構(IPA) IoT高信頼化検討ワーキンググループ、つながる世界の品質指針ワーキングループ主査。博士(工学)
(2017/10/31 05:00)
