脅威・脆弱性・リスク(2014-09-24、更新:2017-10-17)
こう、改めて文章化されるとゴッチャになってきたので・・・
脅威 | システム又は組織に危害を与える事故の潜在的原因。自然災害、システム障害、人為的過失など。 |
脆弱性 | 脅威によって影響を受ける内在する弱さ。 |
リスク | ある脅威が脆弱性を利用して損害を与える可能性。情報システムに組み込まれた技術的管理策で増減。 |
リスクの特定 | 脅威が情報資産の脆弱性に付け込み、情報資産に与える影響を特定する。 |
「脆弱性」の具体例として
「ソフトウェアの脆弱性」は日々、報告されていて
JPCERT/CC のサイトで見ることができます。
みんなが使うソフトウェア(例えばWindows)は、攻撃の標的にされ易いので、
脆弱性が日々発見されてしまいます。
対策としては、上記の JPCERT/CC のような情報を利用して、脆弱性には迅速に対応
(ソフトウェアをアップデート)することになります。
ソフトウェアは分かり易い?のですが、組織や環境、様々なところに脆弱性はあります。
- IDやパスワードが正しく管理されていない、人的な脆弱性
(たまに、パソコンのふちに付箋紙で大事な情報貼っている人、いませんか?)
- 上記(JPCERT/CCや、その代替となる情報)を知らない・運用できていない、組織の脆弱性
- 知らない人が自由に建物へ出入りできる、物理・環境の脆弱性
リスクへ対応する前に、まず、どういった脆弱性があるか
洗い出すことが大切です。
それから、リスク対応*1は主に次の4つに分けられます。
- 回避
リスクの要因を断つ。あるいは全く別の方法にする等。
運用のメリットよりも、リスクの方が大きい場合に選択すべき手法です
- 例:メールからのウィルス感染を防止するため、電子メールの使用を禁止、以降は電話か手紙の運用にした
- 例:不正侵入されないように、ネットワークを切断した*2
- 軽減(、最適化 etc)
対策によって脅威発生の可能性を下げる、受容可能なレベルまでリスクレベルを低減する等。
- 例:不正侵入されないように、ファイアウォールやIDS/IPS/WAF*3を用意した
- 例:盗難や漏洩に備えてデータを暗号化した
- 移転(、転嫁 etc)
リスクの管理主体を他社などへ移す。
ただし金銭的なもの等の一部のものに限る。例えばブランド価値とかは移転のしようがない。
- 例:事故に備えて保険をかけた*4
- 例:システム運用を外部委託し、契約不履行時の損害賠償契約をした
- 保有
許容範囲内としてそのリスクを受容する。
発生しても損害が微々たる場合、あるいは大きすぎて対策のしようがない場合にはこうなる。
※ただし、意図的に保有する場合(残留リスク)と認識できていないだけ(潜在リスク)は分けて考えるべき。
- 例:会社に隕石が落ちてくるかもしれないが、対策しなかった(対策しようがなかった)*5
これらを「どうにかする」には
「リスク分析」、「リスク評価」技法といった題目で多くの本が出ていますが、
(情報資産の洗い出しから、脆弱性を見つけるまでの一連の流れを作るのか、
チェックリストで脆弱性を潰していって、資産が守れていることを確認するか・・・など)
まず手始めに、としては IPA(情報処理推進機構) のサイトが参考になります。
余談、閑話 †
そもそもこれ、なんでIT用語に書いているんでしょう?
日常会話では使わないにしろ、脆弱性なんて椅子や机にもあるでしょうに、ねぇ?
2017月10月に無線LAN(Wi-Fi)の脆弱性の話題があって、そもそも無線LANを使っている製品ってなんだろうと思ったんです。
ほら、いま時代はIoTがクラウドでユビキタスなコンピューティングがデンジャラスでトゥギャザーしようゼじゃないですか。
椅子なんかは、座って軋む音がしたり、座る前に背もたれが折れてたりすれば、普通は警戒しますけれど*6、
IT・ソフトウェアは目に見えない場合が多いので、いつの間に使っていて、いつの間に何か問題発生していることがあるので、ことさらに脆弱性やらを意識しないと危ないのだと思いました。
身の回りの製品のどれがWi-FiやBluetooth(こっちは2017年9月に脆弱性の話題が)を使っていて、それらに全てに最新パッチが適用済みかどうか?知らんがな。
組織や企業でそれらリスク管理するのも大変ですけど、自分の家のIT家電のリスク管理することも大変になりそうです。
冷蔵庫、テレビ、洗濯機にまでセキュリティ対策ソフトをインストールする時代が来るのでしょうか?