昨今のコンピュータ関連イベントではセキュリティ製品が花盛りである。 IDS(侵入検知システム)、生体認証システム、アンチウィルス、セキュリティ OS、 ウェブアプリケーションフレームワーク、VPN、システム監視システムなどなど。
セキュリティ製品といえばファイアウォールくらいしか無かった時代を考えると素晴しい限りだが、 導入すればたちどころにセキュリティが改善されるといった魔法はありえない。 どのセキュリティ製品にも使いどころがあり、不適切な使い方をしては効果が発揮できない。
本稿では、適材適所のセキュリティ対処を行うために不可欠な「リスク評価とは何か」について述べる。
守るべきものは何か
セキュリティ向上に関する計画を立てる際に重要なことは、 現在のシステムにどのようなリスクがあるのか、そのリスクの性質はどうなのか、 について正しく把握することである。
通常、セキュリティに関する投資、予算というものは制限されているので、 比較的重要な問題から優先的に対処する戦略を用いなければならない。 問題の性質から、あるセキュリティ措置により、複数の問題に対処できることもある。 このためにも、現状分析、問題把握に時間をかけることが大事である。
ここから、システムのリスクを把握する方法論の一つを紹介する。 この方法論では、情報システムを構成する要素を情報資産と呼ぶ。 情報資産について、以下の導出を行い、リスクを把握する。
情報資産が持っている脆弱性(性質)を原因として生じる脅威(現象)の内、問題となるものをリスクと考える
この方法論を採用する場合、現状分析作業の第一ステップとして、 「すべての情報資産」を数えあげる作業を行う。 この作業の結果として、システムに存在するリスクを網羅的に把握することが可能となる。
情報資産とは、ネットワーク機器、ホスト、クライアントなどの電子デバイスばかりではない。 情報を扱うプロセスを維持するために必要なリソースすべてを意味する。
リソースは大きく四つのグループに分類される。
- 情報 – データベース、データファイル、マニュアル、資料
- ソフトウェア – アプリケーション、システムソフトウェア、ユーティリティ
- ハードウェア ー コンピュータ装置、通信装置、メディア、電源
- サービス – 通信サービス、空調装置、照明
この他にも、必要なリソースは色々と考えられる。 たとえば、会議の議事録をノート PC ではなく、紙のノートに書く組織にとっては、 ノートとボールペンが無くては、「会議での議論」という情報を記録できない訳だから、 情報資産に「ノートとボールペン」を挙げる必要があるかもしれない。
ここで「ノートとボールペン」にどれほどの価値があるのか?と疑問に思う方もおられるだろう。 しかし、この段階では情報資産を漏れ無く数え上げることが重要である。 資産リストから除外することは後でもできるが、 この段階で見落された情報資産のリスクが考慮されることは無いからだ。
情報資産を数えあげる作業は、情報を扱うプロセスを解き明かす作業でもある。 時間のかかる作業ではあるが、丁寧に行うことが重要である。
リスク評価とは
さて、リスクとはどういうことなのだろう。 ここでは、計算機に保存された「機密を要する情報」について、 「情報漏洩」というリスクが現実のものとなる一つのシナリオをあげてみる。
「情報が、電子データとして保管されていたため、フロッピーディスクにコピーされて、持ち出されてしまった」
このシナリオの中で、「電子データとして保管されていた」ことは情報の性質であり、これを脆弱性と呼ぶ。 また、「フロッピーディスクにコピーされて」しまうことは、情報の性質に起因して生じる現象であり、脅威と呼ぶ。 脆弱性に起因する脅威の結果として「持ち出されてしまった(漏洩)」ことがリスクである。
* 情報漏洩の原因となるのは、この脆弱性ばかりではない。 ここでは「情報資産の一つの性質から発生する現象により、あるリスクが生じる」という導出のしかたで、 すべてのリスクを洗い出す、方法論の説明として捉えてもらいたい。
リスク評価とは、情報資産それぞれについてのリスクを残さず洗い出し、 それぞれのリスク値を、統一された基準に基づいて計算、比較することで、 どの情報資産が高いリスクに晒されているのかを知ることである。
それゆえに、考えられる限りすべての情報資産を数えることが重要なのである。
リスク値の算出方法
情報資産それぞれのリスクの値を算出するために、資産のそれぞれについて次のような項目を考察する。
- 資産価値 – どれほどの価値を持っているのか
- 脆弱性 – どのような性質を持つのか
- 脅威 – 性質から導かれる現象は何か
- 蓋然性 – 脅威が現実となりうる確率はどれくらいか
* 蓋然性の正確な算出は不可能である。ここではリスク評価者の主観による値でよい。
資産価値、脆弱性のレベル、脅威のレベルに基づき、 次の表からリスク基準値を点数化し、蓋然性を乗算したものを資産に関するリスク値とする。
| 脅威のレベル | ||||||||||
| 低 | 中 | 高 | ||||||||
| 脆弱性のレベル | 低 | 中 | 高 | 低 | 中 | 高 | 低 | 中 | 高 | |
| 資産価値 | 非常に低い | 0 | 1 | 2 | 1 | 2 | 3 | 2 | 3 | 4 |
| 低い | 1 | 2 | 3 | 2 | 3 | 4 | 3 | 4 | 5 | |
| 普通 | 2 | 3 | 4 | 3 | 4 | 5 | 4 | 5 | 6 | |
| 高い | 3 | 4 | 5 | 4 | 5 | 6 | 5 | 6 | 7 | |
| 非常に高い | 4 | 5 | 6 | 5 | 6 | 7 | 6 | 7 | 8 | |
例えば、高い資産価値、低い脆弱性、中程度の脅威を持つ資産のリスク基準値は 4 点であり(図の赤いところ)、 蓋然性が 80 % であれば、リスク値を 4 x 0.8 = 3.2 とする。
極めて時間のかかる作業だが、全ての資産についてリスク値を比較することで、 どの資産をどの程度守ればよいかについての精度の高い指針を得ることができる。
このリスク評価の結果に基づいて、効果的なセキュリティ対策を実施することが、効率的であり効果的であるといえる。
リスク評価は続く
情報資産のリスク値とは、時とともに変わってしまうものである。 例として挙げた情報漏洩のリスクを避けるために、なんらかの暗号を導入することにしたとする。 しかし、その暗号に対する効率的な解読手法が考案されたとなると、 回避したリスクが再び現実性を帯びることとなる。
常に情報セキュリティに関する情報の収集に努め、 リスク評価の結果を現実に適合させていくことを怠っては、 一過性のセキュリティ対策に終わってしまう。 セキュリティレベルを維持するためには、 情報セキュリティマネージメントシステム(ISMS)適合性評価制度 でも説明されているように、一連のセキュリティ改善活動を繰り返し実施しなくてはならない。
本稿に記載したリスク評価手法は、一つの例に過ぎない。 組織の特性に応じたリスク評価手法を見付ける作業は試行錯誤の繰り返しで、 時間とコストのかかるものだが、より良いセキュリティを確保するために、 セキュリティ製品を購入することよりも重要なプロセスといえる。
リスク評価を続けるために
実際に「すべての情報資産」に関するリストを維持しつづけることは非常にコストの高い作業である。 リスク評価のためだけに、この作業を行おうとすると、把握している情報資産と現実との間に 齟齬が発生し、セキュリティ改善活動そのものに悪影響を及ぼす可能性がある。
現実の情報資産を正確に把握することを可能とするために、 初期投資として、財産目録(inventory)の作成、ビジネスプロセスの定義、文書化(手順書の作成)、 それら文書のメンテナンス体制の確立を行い、組織の維持活動に組み込むことが望ましい。
そのためには、 リスク評価を陳腐化させず、セキュリティ改善活動を続けていくためには、組織全体の協力を要することについて、 スタッフの理解を求め、積極的な参加を促すことが肝要である。