第 5 章 セキュリティ対策
5.3 リスクアセスメント
5.3.1 情報資産の洗い出しと資産価値の評価
本システムで扱う情報資産の洗い出しを行う.洗い出した情報資産を次の表 5-1に示す.
表 5-1 本システムで扱う情報資産の一覧
種別 情報資産 備考
H/W資産 サーバ Webサーバ(PaaS),メールサーバ(SaaS) PC 事務用ノートPC×1台
ネットワーク機器 無線LANルータ×2台 業務用と生徒用
物理的データ 印刷されたコーチ勤務情報 面談時に印刷する勤務情報 印刷されたコーチ評価シート 面談時に印刷する評価シート
システムのマニュアル システム管理の手順,外部サービスの利用 方法、URLなど
電子データ ユーザ個人情報 システム利用者の【ID,パスワード,氏名,
メールアドレス,電話番号,顔写真】
経営者×1件 コーチ約20件
コーチ勤務情報 コーチの勤務実績情報
レッスン情報 レッスンの日時,クラス,担当コーチ,
代行の有無
洗い出した情報資産に対し,資産価値を評価する.機密性,完全性,可用性の観点より,
それぞれの評価基準を基に顧客と協議し,評価を行った.評価に用いた資産価値の評価基準 を次の表 5-2から表 5-4に示す.
表 5-2 機密性の評価基準 資産価値 クラス 説明
1 公開 第三者に開示・提供が可能 2 社外秘 組織内では開示・提供が可能
3 秘密 特定の関係者または部署のみに開示・提供が可能 4 極秘 所定の関係者のみに開示・提供が可能
表 5-3 完全性の評価基準 資産価値 クラス 説明
1 低 情報が改ざんされた場合,ビジネスの影響は少ない 2 中 情報が改ざんされた場合,ビジネスの影響は大きい 3 高 情報が改ざんされた場合,ビジネスの影響は深刻かつ重大
表 5-4 可用性の評価基準 資産価値 クラス 説明
1 低 24時間以上の情報システム停止が許容される 2 中 業務時間内の利用は保障する
3 高 1年365日,1日24時間の内,99.9%以上利用できることを保証 これらの評価基準に照らして評価された情報資産の機密性の価値,完全性の価値,可用性 の価値を統合し,統合資産価値を算出する.統合資産価値は各評価値の合計点を算出し,そ の合計点を統合資産価値基準に照らして評価する.評価に用いた統合資産価値基準を次の表 5-5に示す.
表 5-5 統合資産価値基準
合計点 3~4 5~6 7~8 9~10
統合資産価値 1 2 3 4
これらの評価基準を基に,洗い出した情報資産を評価した結果を次の表 5-6に示す.
表 5-6 情報資産価値の評価結果
種別 情報資産 機密性 完全性 可用性 統合資産価値
H/W資産 サーバ 3 3 2 3
PC 2 1 1 1
ネットワーク機器 2 2 2 2 物理的資産 印刷されたコーチ勤務情報 3 1 1 2
印刷されたコーチ評価シー ト
3 1 1 2
システムのマニュアル 3 2 2 3 データ ユーザ個人情報 4 2 2 3 コーチ勤務情報 4 2 2 3
レッスン情報 1 2 2 2
5.3.2 脅威の分析
脅威とは,システムまたは組織に危害を与えるような,好ましくない偶発事故を引き起こ す事象のことである.各情報資産に固有のリスクを特定する為に,ここで脅威の洗い出しを 行う.
脅威は,国際規格の情報技術セキュリティ管理指針(ISO/IEC TR13335 GMITS)[10]で紹介さ れている典型的な脅威のリストを参考にし,本プロジェクトに適合するものを洗い出す.
GMITS のリストは組織が情報システムを運用する上で存在するあらゆる脅威を網羅したも
のであり,脅威を広い視野で分析する際に参考になる.GMITSで紹介されている脅威のタイ プを次の表 5-7に示す.
表 5-7 GMITSにおける脅威のタイプ
タイプ 説明
故意的 情報資産を目標とした故意の人的行為
偶発的 情報資産に偶発的に損傷を与え得る全ての人的行為 環境 人の行為に基づくものではない全ての事故
洗い出した脅威を以下に示す.本プロジェクトでは T1 の規模やシステムの重要度より,
明らかに発生確率が低い脅威や,対応するのが現実的でない脅威に関しては対応しないもの とする.
脅威の評価にあたっては,その脅威が発生する頻度を脅威の大きさとして定義する.脅威 の発生頻度は経験や統計データを基に評価を行うが,本プロジェクトでは人的脅威における 発生頻度の経験やデータが無い.そのため,本プロジェクトでは故意的,偶発的な人的脅威 に関してその可能性を推測し,評価していく.人的脅威の発生頻度の評価は次のような観点 で行う.
故意的な脅威の評価観点 A) 攻撃者の動機の有無 B) 必要とされる技術の難易度 C) 攻撃の容易性
偶発的な脅威の評価観点 A) 立地条件
B) 要員によるミスの可能性 C) 誤動作の可能性
こうした観点より発生頻度を推測し,脅威の評価基準に照らして脅威を評価する.評価に 用いた人的脅威の評価基準を示す.
表 5-8 人的脅威の評価基準
大きさ クラス 説明
1 発生小 評価観点から,脅威が発生する可能性がほぼない 2 発生中 評価観点から,脅威が発生する可能性がある 3 発生大 評価観点から,脅威が発生する可能性が高い
また,環境に起因する脅威は概ね経験があるため,次の評価基準で評価を行った.
表 5-9 環境に起因する脅威の評価基準
大きさ クラス 説明
1 発生小 発生頻度が年に1回以下 2 発生中 発生頻度が年に数回 3 発生大 発生頻度が月に1回以上
脅威の中には,人的脅威と環境による脅威の両方の性質を持つものがある.これらの脅威 については値の大きい方を優先し,評価とする.洗い出した脅威とその大きさの評価の一覧 を次の表 5-10に示す.
表 5-10 脅威の評価結果
脅威 分類 大きさ
故意の損害(破壊,消失,改ざん) 故意的 3
停電 偶発的 1
ハードウェアの故障 偶発的 2
電力の不安定 偶発的,環境 1
極端な温度及び湿気 故意的,偶発的,環境 2
ほこり 環境 2
電磁波放射 故意的,偶発的,環境 1
盗難 故意的 2
記録媒体の劣化 環境 1
利用者のエラー 故意的,偶発的 3
管理者のエラー 故意的,偶発的 3
ソフトウェアの故障 故意的,偶発的 2
不正なユーザによるソフトウェアの使用 故意的,偶発的 2 不正な方法でのソフトウェアの使用 故意的,偶発的 2
なりすまし 故意的 3
悪意あるソフトウェア 故意的,偶発的 1 不正なユーザによるネットワークへのアク
セス 故意的 2
不正な方法でのネットワーク設備の使用 故意的 2 トラフィックのオーバーロード 故意的,偶発的 2
盗聴 故意的 2
通信への侵入 故意的 2
否認 故意的 2
通信サービスの障害 故意的,偶発的 2
スタッフ不足 偶発的 2
5.3.3 脆弱性の分析
脆弱性とは,脅威を発現させる原因となる事象で,脅威によって影響を受け得る情報資産 の弱さを示す.脅威と同様に,GMITS[10]で一般的な脆弱性のリストが公開されているので,
これを活用して脆弱性の洗い出しを行う.前項で洗い出した脅威についてその脆弱性を洗い 出し,評価基準を基に評価を行う.評価に用いた脆弱性の評価基準を次の表 5-11に示す.
表 5-11 脆弱性の評価基準
度合い クラス 説明
1 低 適切な管理策が講じられていて安全である 2 中 管理策の追加等により改善の余地がある 3 高 全く管理策が講じられておらず脆弱である
洗い出した脆弱性とその度合いの評価の一覧を次の表 5-12に示す.
表 5-12 脆弱性の評価結果
項 脅威 脆弱性 度合い
環境お よび基 礎構造
盗難 建物,ドアおよび窓の物理的保護の欠 如
1 故意の損害(破壊,消失,改
ざん)
建物,部屋への物理的アクセス管理の 不適当または不注意な使用
1
電力の不安定 不安定な電力配電網 1
停電 不安定な電力配電網 1
ハード ウェア
記憶媒体の劣化 定期的な交換計画の欠如 3 電力の不安定 電圧の変化に対する影響の受けやすさ 1 極端な温度及び湿気 温度変化に対する影響の受けやすさ 1 ほこり 湿気,ほこり,汚れに対する影響の受
けやすさ
1 電磁波放射 電磁放射に対する影響の受けやすさ 1 管理者のエラー 記憶媒体の不完全な保守・不適当な設
置
2 ソフト
ウェア
利用者のエラー 複雑なユーザインタフェース 3 なりすまし ユーザの識別およびメカニズムの欠如 3 なりすまし 不十分なパスワード管理(推測可能な
パスワード,平文でのパスワード補完,
不十分な頻度での変更)
3
悪意あるソフトウェア バックアップコピーの欠如 2 不正な方法でのソフトウェア
の使用
アクセス権の誤った割り当て 3
不正なユーザによるソフトウ ェアの使用
クライアントPCから離れる際にログア ウトしない
3 ソフトウェアの故障 効果的な変更管理の欠如 3 不正なユーザによるソフトウ
ェアの使用
適切に削除されていない記憶媒体の処 理または再利用
2
盗聴 保護されていない通信回線 3
通信への侵入 ケーブル接続の欠陥 2
通信 なりすまし 送信元および受信者の識別と認証の欠 如
3 不正なユーザによるネットワ
ークへのアクセス
平文でのパスワード転送 3
否認 メッセージ送受信の証明の欠如 3
盗聴 保護されていない重要度の高いトラフ ィック
3 トラフィックのオーバーロー
ド
不適切なネットワーク管理 1