【CSIJコラム26(2024,12,10)】
「脅威シナリオに基づくリスク評価の薦め」
グローバルセキュリティエキスパート株式会社
出本 圭介
インパクトの大きいサイバーセキュリティインシデントが発生し、ニュースで大きな話題になったとします。このとき、企業の情報システム担当者として、経営幹部から「うちは同じ攻撃を受けても大丈夫なのか」といった質問を受けて明確な回答に困ることはないでしょうか。
-
セキュリティの評価はチェックシートで行っていて、改善点はあるもののそれなりにできてはいるはず。
-
しかし同じ攻撃を受けても大丈夫かといわれると、どう答えたらいいんだろう・・・
リスクを評価する手法にはいくつか種類がありますが、上記のようにチェックシート等を用いて理想とする対策とのギャップを分析する手法は、一般に「ベースラインアプローチ」と呼ばれます。ガイドラインなどを参考に、あるべき対策レベルを設定し、それらが達成できているかを評価する、一般に広く行われる評価手法です。CSIJで提供する「共通評価フレームワーク」も基本的にこのアプローチがベースになっています。こうした評価では、ガイドライン等で一般に必要とされる対策の状況を一定の網羅性をもって確認し、全体のレベル感をつかむことができます。一方、このアプローチは「対策状況」の評価であり、その対策が不十分であることで具体的にどんなリスクにつながるのか、逆にそれを対策して何が防げるか、についてはそれだけでは具体的に明確にし辛いという側面もあります。
そこで、こうしたチェックシートによるベースラインアプローチに加え、リスクベースアプローチの一つである、具体的な脅威シナリオに基づくリスク評価手法を選択肢として持っておくと有用と考えます。この手法では、対象とする環境において、特定の重要サーバ等がサイバー攻撃を受ける可能性を脅威シナリオとして描き、それに対する対策状況を確認し、攻撃成立のリスクを評価するような考え方を採用します。
サイバー攻撃は一般に、複数ステップからなる一連の攻撃手順に沿って行われます。
ステップ1:初期侵入(VPN経由の侵入)
⇒ステップ2:内部活動(重要サーバへの侵害拡大、権限昇格等)
⇒ステップ3:目的達成(暗号化、情報送出)
といった具合に、目的の達成まで複数のステップを経ることが多いです。
この手法では、想定シナリオにおける各ステップを阻止・検知するのに有効な対策を洗い出し、それに基づき対象となる具体的な端末・機器に対して細かくチェックを行います。さらに、シナリオを対策と紐づけることで、
-
ステップ2は容易に通過される可能性が高いが、ステップ3でしっかり遮断できるといった整理ができる
-
特定の対策をすることで、ステップのどこに効くか、全体のシナリオ成立阻止にどれくらい寄与できるかを整理できる
といった形で、具体的な検討に繋げやすくなります。本稿冒頭の問いにも一定の回答が行えるでしょう。
メリットを分かり易く示す為、例を用いて説明します。
----------------------------------------------
-
全部で5ステップからなる脅威シナリオを想定し、3ステップ目に「管理者端末乗っ取り」というステップがあったとします。
-
評価の結果、このステップ3が突破される可能性として以下2点が挙げられたとします。
①脆弱性を悪用した横展開
(当該端末のパッチマネジメントが不十分なため)
②ブルートフォースによる認証突破
(パスワード桁数が少なく、アカウントロックの設定もないため)
この状況で、例えば
-
両方の対策実装が難しいから、まずパッチ管理の強化(①)だけ先にやろう。
とした場合、どのような効果があるでしょうか。
攻撃者とすれば①②はステップ突破のOR条件であり、どちらかが使えればこのステップ3は突破されます。つまりこの端末の脆弱性対策を強化して①が成立しにくい状況を作っても、より容易に突破できる②の状況が変わらなければ、(あくまでこの想定シナリオ前提の)リスクの低減にはあまりつながっていないという議論ができます。
----------------------------------------------
上記は説明の為わざとらしく単純化した例ですが、漠然と環境全体の対策状況を○×チェックしているだけでは見えない観点が見えてくる可能性があるのは何となく感じて頂けるのではないかと思います。これは「パッチ管理ができていない」「認証が弱い」という対策の不備を個々の「点」としてみるか、一連の攻撃の流れの中に位置づけて「線」で捉えるかの違いと考えることができます。後者によって、対策優先度の決定に役立つ示唆が得られる可能性が高まると考えられます。
環境に合わせたシナリオを考えるのは少し難しく感じるかもしれませんが、攻撃手法も含めて詳細に分析された報告書が公開されているケース[1]もあり、それを環境に当てはめてカスタマイズする、という発想である程度ハードルを下げられます。攻撃手法とその対策についてはMITRE ATT&CK®[2]等の公開リソースを参照するのも有益です。
とはいえ脅威シナリオに基づくリスク評価は、ポイントを絞った深掘り分析であり、全サーバ、考えうる全シナリオパターンの組み合わせ網羅は現実的ではありません。特定脅威に対する分析には適していますが、全体の評価はこれだけでは難しいので、一定範囲で広く網羅的な評価を行う「ベースラインアプローチ」によるリスク評価で全体感を捉える取り組みとうまく組み合わせて実施することで、有効に活用できると考えます。
脚注
[1]: 徳島県つるぎ町立半田病院
「コンピュータウイルス感染事案有識者会議調査報告書」等が
公開された報告書の例として挙げられる
https://www.handa-hospital.jp/topics/2022/0616/index.html
[2]; https://attack.mitre.org/