セキュリティコンサルタントの日誌から

セキュリティに関するエッセイなど

リスク分析の3つのアプローチとセキュリティの7S

リスク分析は、セキュリティ戦略策定の上で欠かせない基本的なアプローチです。

以前、日経SYSTEMSの記事「セキュリティコスト 5つの掟」(2018年10月号)にて、 一部のインタビュー記事が紹介されましたが、そこで取り扱われたリスク分析の考え方について、自分の考え方について少し整理をしておきたいと思います。

tech.nikkeibp.co.jp

リスク分析の概要

リスク分析とは、基本的に以下のステップで行います。

  1. セキュリティ対策の現状把握を行い、現時点のリスクを特定・把握する。
  2. 対策の優先度を決定する。
  3. 対策の実装に向けたロードマップを策定する。

セキュリティ予算・リソースは通常有限であり、足りないことが一般的ですので、この分析をしてその年にやるべき対策を決定するのが主なスコープです。

セキュリティ対策の現状把握

リスク分析を行う際に、一番悩むポイントとして、「どのようにセキュリティ対策の現状把握を行うか?」という点です。

アプローチ手法

筆者の経験では、リスク分析のアプローチは大きく3種類に分類されると考えています。

  • ベースラインアプローチ
  • リスクベースアプローチ
  • ビジネスプロセスアプローチ
アプローチ1:ベースラインアプローチ

ベースラインアプローチとは、あらかじめ実現すべきセキュリティレベル(ベースライン)を決定し、システムや組織が目標としているセキュリティレベルに達しているか否か判断するアプローチで、ギャップ分析とも呼ばれます。

このベースライン(実現すべきセキュリティレベル)としては、様々なガイドラインや規制を活用することが一般的です。以下に代表的なガイドラインを示します。

  • ISO270001
  • Critical Security Control
  • PCI-DSS

例えば、Critical Security Controlの場合、AuditScript社がだしているようなスクリプトで評価する方法などが考えられます。(AuditScripts.com

ここで注意すべきことが複数存在します。

第一に、各ガイドライン・規制の特徴を正確に把握することです。具体的に技術的に詳しく踏み込んでいるガイドラインもあれば、かなり汎用的な表現にまとめられているものも存在します。各セキュリティベンダーは、こうした利点・欠点を活用しながら、独自のフレームワークを作成していたりします。

第二に、どのように評価するかという点です。簡単な方法はチェックリストによるチェックです。しかし、チェックリストでは申告者の認識違いなどがあり、過大評価される結果になりがちです。一方、コンサルタントを使った評価では、具体的なドキュメントを確認したり、記録を確認したりするなどして、その品質を担保していきます。

アプローチ2:リスクベースアプローチ

リスクベースアプローチとは、ベースラインアプローチをある程度実施し、基本的な対策を実装した組織がやるべき一つ成熟度を上げた手法です。これは、ある特定のリスクを防止するために必要な対策を見極めるアプローチで、「脅威シナリオ分析」とも呼ばれます。

ここで重要なことは、一般的にリスクが高いとされる脅威を選択すること、そしてシナリオを適切かつ緻密に作成することです。そのシナリオを作成するためには、Threat Intelligenceなどを活用するなどして、最新のシナリオを取り入れていきます。

そして、どういう条件の場合において攻撃が成功するのか、そしてどんな新しいセキュリティ施策(Security Control)を導入するとその可能性を下げることができるのか、多層防御(Defense-In-Depth)の概念から検証します。

アプローチ3:ビジネスプロセスアプローチ

ビジネスプロセスアプローチは、よりビジネスプロセスに寄り添ったリスク分析手法です。この考え方は、複雑なビジネスプロセスを持っている、あるいは拠点間で様々な分業が行われているなど、リスクベースアプローチで対象とするような技術的リスクだけでなく、ビジネスプロセス上のリスクも含めて評価することを目的としています。特に最近では、BECのようなビジネスプロセスを悪用したような攻撃も増えていますので、こうした分析手法も徐々に注目を浴びています。

具体的な方法は、まずビジネスプロセスをまず整理します。その時には、全てのビジネスプロセスを追いかけると複雑になるため、主要なデータ(個人情報など)に注目し、その流れを追いかけることで関係のあるプロセスに着目します。そのうえで、どのような処理が行われているか、そしてどんな攻撃を受ける可能性があるかを分析していく手法です。

方法論(机上分析 vs. 技術分析)

ここまで、3種類のアプローチを紹介しましたが、これは机上分析という方法論に特化して説明してきました。ここでは、この方法が、テクニカルな方法でもこの考え方は適当できることを考えて行きます。

方法論1:机上分析

ここまで紹介した方法は、机上分析と呼ばれる方法です。この方法は、技術、プロセス、組織面から網羅性を担保して分析できる一方、ヒアリングやアンケートに基づいて行われるため、勘違いや認識齟齬、実際の技術やプロセスの実効性などについてあまり掘り下げられない可能性があります。

方法論2:技術分析

一方、技術分析と呼ばれる方法も存在します。技術分析とは、セキュリティ診断やペネトレーションテストなどを意味し、技術的観点を中心に、予防(Prevention)、検知(Detection)、対応(Response)の観点から分析を行います。技術的観点には深く分析することができる一方、マネジメント的観点、あるいはプロセス的観点についてはあまり網羅できないという特徴があります。

ベースラインアプローチに該当する技術分析は、脆弱性スキャンと呼ばれる方法です。パッチが適切にあたり、ハードニングが適切に行われている状態をベースラインとする一方、各機器が持つセキュリティレベルをチェックして、適用されていないパッチ、あるいは脆弱な設定などを洗い出し、そのギャップを分析する方法です。

また、リスクベースアプローチに該当する技術分析は、ペネトレーションテスト、あるいはRed Team Exerciseと呼ばれる方法です。つまり、実際にある目標に対する脅威を想定して、どんな攻撃パターンで目的を達成できるか、技術的な観点から監査を行います。最近金融庁などから話題になっているTIBER(Threat Intelligence Based Ethical Red Teaming)やTLPT(Threat Lead Penetration Test)などは、このシナリオ・リスクにより注目した概念だと考えられます。

最後のビジネスプロセスアプローチについては、ビジネス的観点を重視にされているため、ビジネスを知っているセキュリティ専門家でないと実施できない方法です。強いて言えば、高度なTIBER・TLPTはこれに該当すると言えますが、まだまだビジネスリスクにまで焦点を当てた技術分析は少ないでしょう。

補足:プロセスの実効性をより深く検証する方法は?

ここまで読むと、プロセス面の実行性をより深く検証する方法はないのか?という疑問がわいてきます。部分的には存在します。

例えば、セキュア開発ライフサイクルなどの実効性を確認する場合は、当該製品のセキュリティ診断結果を見つつ、関連するドキュメントや成果物などを仔細に分析していく監査的なアプローチなどを取ることにより検証ができると言えます。

一方、例えばインシデント発生時の対応プロセスを検証するのであれば、サイバー演習と呼ばれる方法が有効でしょう。これは、実際にセキュリティインシデントが発生したと仮定して、模擬訓練を行う方法で、本来は避難訓練と同様に訓練が目的です。しかし、この方法を通じて、どのようなプロセス上の欠点があるか洗い出すことができます。例えば、金融庁や金融ISACが実施しているサイバー演習は、適宜イベントと呼ばれる状況付与を与え、それに基づいてダイナミックに対応する練習を行う手法を採用しています。こうした方法を取ることで、プロセスの実効性、メンバーへの浸透度合などを評価することができるでしょう。

セキュリティの7S

マッキンゼーの7Sとは組織マネジメントに必要な7要素を記述したコンサルタントが使う古典的なフレームワークです。この考え方を応用して、組織のセキュリティを語るときにこの7つの観点で記述するという方法があります。

tech.nikkeibp.co.jp

まとめ

リスク分析は、組織のセキュリティを客観的に評価する方法です。これを軸に、優先度や最も費用対効果がある部分を見極め、年次計画や中期計画を作ることができます。セキュリティ予算は決して潤沢にとれる組織はほとんどないので、こうしたアプローチは予算取りや優先度付けに非常に有益だと考えられます。