ネットワークセキュリティ第2回

「情報システムまたは企業に対する脅威の程度を正式に評価し、脅威の性質を説明するプロセス」（出典：米国NIST Glossary）

何を守るのか？ どういう脅威があるのか？　組織や情報システムが直面する脅威を脅威分析によって明らかにする

なぜ脅威分析・リスク評価をするのか？

現実的な問題・制約がある

どこから攻撃されるか分からない

時間や予算（リソース）は限られている

そのため、すべてを守ることは不可能

脅威分析の価値

体系的に脅威を識別し、効率的な対策を立案する

どのような脅威から何を守るのか、その価値は？

診断前に脅威分析を行うことで的確な診断が可能になる

守るべき資産に対して以下のセキュリティ的特徴があり、それらを侵害するものが脅威として分類される。

許可された者だけが情報にアクセスできる

例：パスワード、メールなど

情報が正確で改ざんされていない

例：成績データ、銀行口座の残高など

必要な時に情報やサービスが利用できる

例：WiFi、教務情報システムなど

脅威に対するリスクの定量化と構成要素

（要素分解型）

リスク = 脅威 × 脆弱性 × 資産価値

例：ECサイトの顧客データベース

脅威: ハッカーによる攻撃

脆弱性: SQLインジェクション

資産価値: 顧客10万人の個人情報

→ リスク: 情報漏洩による賠償・信頼失墜

（影響×可能性型）

リスク＝影響度（Impact）×発生頻度（Likelihood）

例：天気予報の降雨確率

table:脅威の種類

カテゴリ 具体例 特徴

人的脅威 サイバー攻撃、内部犯行、ミス 意図的/偶発的

技術的脅威 マルウェア、脆弱性悪用 自動化・拡散

環境的脅威 災害、停電、機器故障 予測困難

組織的脅威 APT、産業スパイ 長期的・高度

サイバー攻撃だけじゃないところがポイント

ただ、脆弱性診断の主な目的は、サイバー攻撃/APTに悪用されないよう脆弱性を洗い出して対策すること

標的に対して調査や攻撃の計画など入念に準備をして長期間にわたって攻撃する形態

不正の３要素 (不正のトライアングル)

不正を起こす心理的要因として提唱されている３要素

例）友だちのレポート提出を依頼された・・・

動機： 友達の代わりにレポートを提出してあげたい

機会： パスワードを共有すれば簡単にログインできる

正当化： 提出し忘れたら単位落とすし可哀想

table:脆弱性の種類

カテゴリ 具体例 発生原因

技術的脆弱性 バッファオーバーフロー、SQLi 実装ミス

設定脆弱性 デフォルトパスワード、権限設定ミス 設定不備

設計脆弱性 認証フローの欠陥、暗号化なし 設計ミス

運用脆弱性 パッチ未適用、監視不足 運用不備

人的脆弱性 ソーシャルエンジニアリング対象 教育不足

物理脆弱性 施錠なし、入退室管理なし 物理対策不備

table:資産の種類

カテゴリ 具体例 価値の観点

情報資産 顧客データ、営業秘密、認証情報 機密性・完全性

システム資産 サーバ、ネットワーク機器、端末 可用性・完全性

ソフトウェア資産 アプリ、OS、ライセンス 可用性・真正性

サービス資産 Webサービス、API、メール 可用性・評判

人的資産 従業員、知識、スキル 継続性

資産の価値や脅威は変えられないので、脆弱性（頻度）を減らす

脅威分析

システムに対する潜在的な脅威を体系的に識別・評価する手法

目的

攻撃シナリオの予測

リスクの優先順位付け

対策の立案

セキュリティ投資の最適化

脆弱性診断との関係

脅威分析によって何を診断すべきかを決定し、脆弱性診断によって実際の脆弱性を発見/診断する

脅威分析の流れと分析手法

- 1. システムの理解 → 何を分析するか（DFD、Attack Surface分析）

- 2. 脅威の識別 → 何が起こりうるか（STRIDE、Attack Tree分析）

- 3. 攻撃シナリオの作成 → どうやって攻撃されるか（Cyber Kill Chain）

- 4. リスク評価 → どれが危険か（DREAD）

- 5. 対策の立案 → 何をすべきか

table:_

手法 特徴 適用場面

DFD（データフロー図） システムの構造の可視化・モデル化 脅威分析のはじめにシステムを俯瞰

Attack Surface分析 システムの攻撃入口を視覚化 脆弱性診断の診断ポイント分析

STRIDE 脅威を6分類から連想 DFDの要所に対して連想

Attack Tree分析 攻撃を階層構造化

視覚的に分析

特定機能の分析

Cyber Kill Chain 攻撃段階を分析 APT対策

DREAD リスクをスコア化 脆弱性診断の優先順位決定

DFD=Data Flow Diagram、データフロー図

• システムにおけるデータの流れを視覚的に表現した図

• システムの設計で使われることも多いが、

情報セキュリティの分野では攻撃者が狙いやすいポイントを検討するときに活用

アタックサーフェス分析

• アタックサーフェスとは？ （Attack Surface）

• 攻撃者が侵入可能なポイント（エントリーポイントとも言う）

• システムの中で攻撃の起点となりうる箇所の総体

アタックサーフェスの削減がリスクの軽減につながる

原則：アタックサーフェスを必要最小限にする

（削減方法の例）

1. 不要なサービスの停止

• 使わないサービスの脆弱性・リスクを除去

2. アクセス制限

• IPアドレス制限、認証機能の堅牢化

3. ユーザからの入力ポイントの削減

• 機能の統廃合

4. 権限の最小化

• Webアプリを管理者権限で実行せず、Webアプリ用の権限・アクセス制御を行う

STRIDE

脅威 説明 対策

Spoofing なりすまし 認証

Tampering 改ざん 完全性確認

Repudiation 否認 ログ・監査証跡

Information Disclosure 情報漏洩 暗号化

Denial of Service サービス拒否 可用性確保

Elevation of Privilege 権限昇格 認可

• 守るべき対象とキーワードから脅威を連想する

• DFDと併用すると効果的に脅威を洗い出せる

• 例）信頼境界上でSTRIDEの脅威が起こるかを想定

よくある脅威のパターンを６つに分類したキーワード

Attack Tree分析

フォルトツリー解析を参考に作られたらしい

• 脅威が発生する要因を階層的に可視化する脅威モデリング手法

• 目的

• 攻撃シナリオの網羅的な洗い出し

• 攻撃コストと成功確率の定量評価

• 効果的な対策ポイントの特定

（プチ演習）Attack Treeの作成

目標(脅威)：ネットワークセキュリティの成績データが全員A評価に改ざんされる

担当教員のアカウントを乗っ取る

教員のIDとパスワードを取得する

フィッシングサイト的なものを送る

ネットワークセキュリティ受講者の他の協力を仰ぐ

PCを奪う

PC自体のパスワードを盗む必要がある

対策：生体認証。パスワードを強化する

放置している時に盗む

担当教員を買収する

お金を用意する

担当教員を脅す

凶器を用意する

担当教員の不正を調べる

サーバに不正アクセスする

サーバにログインすることができるアカウントのIDとパスワードを取得する

放置

サイバーキルチェーン:攻撃の7段階モデル

DREADスコアリング

現実社会の脅威の紹介

IPA 情報セキュリティ10大脅威

OWASP Top 10

脅威分析は情報システムまたは企業に対する脅威の程度を正式に評価し、脅威の性質を説明するプロセスのことである。リソースなどの問題から脅威分析・リスク評価をすることは重要である。脅威や脆弱性、資産には様々な種類がある。脅威分析は様々な特徴や適応場面を持った手法がある。