[ トピックス ]
(2017/11/7 05:00)
リスク評価結果にもとづく対策
前々回と前回でセキュリティ対策の手順として、攻撃から守るべき情報、制御、機能、資産を列挙しそれに対する脅威分析の手順を紹介した。今回はセキュリティ対策の最後の手順としてリスク評価結果にもとづく対策を紹介する。
前回までで【図】の表のような守るべきものに対する脅威、攻撃方法、攻撃が成功する前提や条件、成功した場合の深刻さ、起こる頻度をまとめた。自動車や化学プラントをはじめとしてリスクの大きい分野では、強制規格が存在する場合がある。その場合には、「深刻さ」「頻度」今回紹介する「リスク評価」や「対策」の原則や方針が決められている場合がある。まずは、ご自身の分野での国際標準等をチェックしていただきたい。
以降はそうした強制規格が存在しないことを前提に説明する。前回、攻撃の頻度について説明したとおり、攻撃の頻度を正確に見積もるのは難しい。そのため、まずは高、中、低といったレベル分けで見積もる。ただし、次のような場合には、攻撃の可能性が高まるので、頻度の見積もりを大きくする。攻撃がツール化(自動化)されていて攻撃方法の考案者以外も実行できる。社内ネットワーク等の内部のネットワークではなく、インターネットに直接つながっていて社外からも攻撃できる。攻撃に成功すると金銭的なインセンティブがあったり、自己顕示欲を満たしたりすることができる。
-
【図】脅威分析とリスク評価
【図】の表にある「深刻さ」と「頻度」を記入できたら、次は深刻さと頻度から、リスク評価を記入する。「深刻さ」と「頻度」を数値で入れている場合には、そのままかけ算をすればよい。高、中、低といった3段階で評価している場合には、高い順に3、2、1といった数値を割り当てる。同じ数値が割り当ててある脅威の中でレベルに違和感がなければ、「深刻さ」と「頻度」に割り当てた数値の積を求め、リスク評価とする。
攻撃方法すべてに対策案を
次に対策案を考える。対策案を実現するには大きなコストがかかるので、最終的には、リスク評価の結果をもとに対策にかかるコストを勘案しながら、対策を実現するかどうかを決める。しかし、対策案を考えること自体はそれほど大きなコストはかからないはずである。対策にかかるコストが大きいからといって、対策案を考えることまで省くのは望ましくない。脅威分析で挙がった攻撃方法すべてに対策案を考える。
では、前回紹介した住宅内に置く音声認識マイクでエアコンをはじめとする家電を操作する例で、対策を考えてみよう。前回挙げた例は【図】のとおり、持ち主の音声になりすます方法として「攻撃者が住宅内に侵入し、音声で操作する」という方法Aと「マイクの近くにあるテレビ等の音声再生装置の制御を奪い、そこから再生する」という方法Bを挙げた。この2つの対策を考える。Aの前提は住宅内への侵入である。住宅内に侵入した時点でマイク以外の方法でもエアコンの制御は奪える。また、エアコンの制御以外にも価値の高いものがあるはずなので、Aへの対策はしない。
Bに関しては、音声再生装置か本物の持ち主かを見分けることができる方法を考える。次のような様々な対策が考えられる。一定時間経過するとパスワード等の本人認証を求めるようにする、音声再生装置では再現できないレベルの声紋のような持ち主固有の情報で判断する、カメラをつけて顔認証と組み合わせる、熱センサーによってその場に人間がいることを確かめる、マイクの近くにいないと見えない文字を読み上げてもらうといったものが挙がるだろう。その中から他の攻撃方法も広くカバーできること、対策を実現するコストが小さいこと、といった基準で選ぶ。
ここでは、マイクの近くにいないと見えない文字を読み上げてもらい、その後、30分は命令を受け付けるという方法を対策とすることにする。なお、利便性が小さくなるので、持ち主が設定を変更すれば省略できることを前提とする。
こうして、脅威分析で挙がった脅威、その実現方法と前提、条件に合わせて対策案を挙げる。それぞれの対策の実現コストとリスク評価結果を勘案して、実際に対策するかどうかを決める。この例で挙げた対策のように対策は持ち主の利便性を下げてしまう場合があるので、そのことを加味する。
セキュリティと安全性の競合
本連載1回目で紹介したように、セキュリティ対策によっては、対策と安全性が競合してしまう場合があるので、留意する必要がある。上の例で持ち主にマイクの近くにいないと見えない文字を読み上げてもらうことは、持ち主の利便性を下げながらセキュリティに対策している。この利便性低下を安全性低下に読み替えていただくと想像いただけると思う。利便性低下も困るが、安全性が低下する場合にはより慎重に吟味しなければならない。
これまで、セキュリティ対策によって安全性が脅かされる機会はなかった。そのため、ベストプラクティス、事例はほとんどない。セキュリティの標準と安全性の標準のそれぞれに従っていてもつじつまがあわなかったり、両者がトレードオフになったりすることもある。現時点では、セキュリティ対策と安全対策を別々に進めて、対策が決まった時点で競合しないかを確かめるのがよいだろう。さらに、安全性の対策が攻撃対象になる場合がないか考慮する必要がある。
(おわり)
【著者プロフィール】
森崎 修司(もりさき・しゅうじ)名大院情報学研究科准教授。01年奈良先端大情報科学研究科博士後期課程修了後、情報通信企業においてソフトウエア開発、通信サービスの研究開発に従事し、無線ICタグに関わるソフトウエアの国際標準化に携わる。13年より現職。実証的ソフトウエア工学の研究に従事する。情報処理推進機構(IPA) IoT高信頼化検討ワーキンググループ、つながる世界の品質指針ワーキングループ主査。博士(工学)
(2017/11/7 05:00)
