IT用語/脅威・脆弱性・リスク

脅威・脆弱性・リスク(2014-09-24、更新:2017-10-17)


こう、改めて文章化されるとゴッチャになってきたので・・・

脅威システム又は組織に危害を与える事故の潜在的原因。自然災害、システム障害、人為的過失など。
脆弱性脅威によって影響を受ける内在する弱さ。
リスクある脅威が脆弱性を利用して損害を与える可能性。情報システムに組み込まれた技術的管理策で増減。
リスクの特定脅威が情報資産の脆弱性に付け込み、情報資産に与える影響を特定する。

「脆弱性」の具体例として
「ソフトウェアの脆弱性」は日々、報告されていて
JPCERT/CC のサイトで見ることができます。

みんなが使うソフトウェア(例えばWindows)は、攻撃の標的にされ易いので、
脆弱性が日々発見されてしまいます。
対策としては、上記の JPCERT/CC のような情報を利用して、脆弱性には迅速に対応
(ソフトウェアをアップデート)することになります。

ソフトウェアは分かり易い?のですが、組織や環境、様々なところに脆弱性はあります。

  • IDやパスワードが正しく管理されていない、人的な脆弱性
    (たまに、パソコンのふちに付箋紙で大事な情報貼っている人、いませんか?)
  • 上記(JPCERT/CCや、その代替となる情報)を知らない・運用できていない、組織の脆弱性
  • 知らない人が自由に建物へ出入りできる、物理・環境の脆弱性

リスクへ対応する前に、まず、どういった脆弱性があるか
洗い出すことが大切です。


それから、リスク対応*1は主に次の4つに分けられます。

  1. 回避
    リスクの要因を断つ。あるいは全く別の方法にする等。
    運用のメリットよりも、リスクの方が大きい場合に選択すべき手法です
    1. 例:メールからのウィルス感染を防止するため、電子メールの使用を禁止、以降は電話か手紙の運用にした
    2. 例:不正侵入されないように、ネットワークを切断した*2
  2. 軽減(、最適化 etc)
    対策によって脅威発生の可能性を下げる、受容可能なレベルまでリスクレベルを低減する等。
    1. 例:不正侵入されないように、ファイアウォールやIDS/IPS/WAF*3を用意した
    2. 例:盗難や漏洩に備えてデータを暗号化した
  3. 移転(、転嫁 etc)
    リスクの管理主体を他社などへ移す。
    ただし金銭的なもの等の一部のものに限る。例えばブランド価値とかは移転のしようがない。
    1. 例:事故に備えて保険をかけた*4
    2. 例:システム運用を外部委託し、契約不履行時の損害賠償契約をした
  4. 保有
    許容範囲内としてそのリスクを受容する。
    発生しても損害が微々たる場合、あるいは大きすぎて対策のしようがない場合にはこうなる。
    ※ただし、意図的に保有する場合(残留リスク)と認識できていないだけ(潜在リスク)は分けて考えるべき。
    1. 例:会社に隕石が落ちてくるかもしれないが、対策しなかった(対策しようがなかった)*5

これらを「どうにかする」には
「リスク分析」、「リスク評価」技法といった題目で多くの本が出ていますが、
(情報資産の洗い出しから、脆弱性を見つけるまでの一連の流れを作るのか、
 チェックリストで脆弱性を潰していって、資産が守れていることを確認するか・・・など)
まず手始めに、としては IPA(情報処理推進機構) のサイトが参考になります。

余談、閑話

そもそもこれ、なんでIT用語に書いているんでしょう?
日常会話では使わないにしろ、脆弱性なんて椅子や机にもあるでしょうに、ねぇ?

2017月10月に無線LAN(Wi-Fi)の脆弱性の話題があって、そもそも無線LANを使っている製品ってなんだろうと思ったんです。
ほら、いま時代はIoTがクラウドでユビキタスなコンピューティングがデンジャラスでトゥギャザーしようゼじゃないですか。
椅子なんかは、座って軋む音がしたり、座る前に背もたれが折れてたりすれば、普通は警戒しますけれど*6
IT・ソフトウェアは目に見えない場合が多いので、いつの間に使っていて、いつの間に何か問題発生していることがあるので、ことさらに脆弱性やらを意識しないと危ないのだと思いました。
身の回りの製品のどれがWi-FiやBluetooth(こっちは2017年9月に脆弱性の話題が)を使っていて、それらに全てに最新パッチが適用済みかどうか?知らんがな。

組織や企業でそれらリスク管理するのも大変ですけど、自分の家のIT家電のリスク管理することも大変になりそうです。
冷蔵庫、テレビ、洗濯機にまでセキュリティ対策ソフトをインストールする時代が来るのでしょうか?


*1 別の切り口で2つに分けると、「リスクコントロール:管理策でリスクを低減させる」と「リスクファイナンス:損害に対して資金的に対処する」になります。
*2 切断して、USBメモリでデータ移送という運用をやっていたプロジェクトがありましたが、USBがウィルス感染してたらアウト [wink](あと参考:IT用語/BadUSB)。切り離すなら、本当に何も繋げないつもりでないと難しいかもしれません。
*3 IDS:侵入検知システム、IPS:侵入防止システム、WAF:Webアプリケーションファイアウォール
*4 いまは ネット炎上対策パッケージ っていうのも有るんですって。
*5 あ~、隕石落ちねぇかなぁ・・・。さておき、これについては普通データセンターを複数個所(例えば東京と京都)に分ける&情報を同期するといった対策が行われるので、正しくは「軽減」に入る内容かもしれませんね。
*6 そこで警戒せずに座るのは私自身が加齢により危殆化しているからです。

  最終更新のRSS