1 リスク要件リファレンスモデルの運用イメージ

131

Ⅰ－２．リスク要件リファレンスモデル運用解説

1 リスク要件リファレンスモデルの運用イメージ

リスク要件リファレンスモデルは、発注者、受注者双方が情報システムの セキュリティ対策について共通の基準で検討するための枠組みを提供するも のであり、以下の目的を持つ。

情報システムのセキュリティ対策に関する要件定義と構築の中で大きな問 題となるのは、発注者や受注者等のシステムの関係者に対して、非機能要件 であるが、セキュリティという専門性の高い分野で議論をしなくてはいけな い事にある。

リスク要件リファレンスモデルのドキュメント集は、これらの事情を踏ま えて、発注者および受注者が構築対象としているシステムについて双方が共 通の技術的な条件と共通のリスク認識でコミュニケーションが取ることがで きるツールを想定して作成されている。しかしながら、構築される情報シス テムの形態や目的は多岐に渡っているために、それぞれ個別のシステムの事 情を全て勘案する事は現実的には出来ない。したがって、リスク要件リファ レンスモデルでは、いくつかの類型を提供している。

そこで、このドキュメントを有効に活用するためには、標準的な運用の方 法を基本として、運用体制と運用の流れを理解し必要に応じて個別の事項を 検討してもらう事が望ましい。

リスク要件リファレンスモデルでは、情報システムのセキュリティに関す る実際の検討の中で、本ドキュメントの内容を利用する際に取扱が容易にな るように、検討の対象と一連の検討の流れを一体化させた「重要脅威カタロ

リスク要件リファレンスモデルの目的

リスク要件リファレンスモデルは、情報システムの発注者と受注者

がそれぞれの立場で、具体的な脅威に基づいてシステムに組み込む

べきセキュリティ対策を検討可能とするものとして開発された。本

モデルによって、官公庁および民間の情報システム構築の発注者と

受注者は共通の理解の下に情報システムに必要なセキュリティ対

策設計が行われることを目的とする。

132

グ」と呼ばれるものを整備している。脅威カタログの構成は以下のように整 理されている。

パターン1：「正規Web 閲覧によるマルウェア感染（情報搾取）」

バリエーション１："gumblar.xウイルス系感染サイト閲覧"

振る舞い図

攻撃仕様

パターン概要図

バリエーション２："**.ru:8080ウイルス系感染サイト閲覧"

トポロジ基本図上の 設計対策概要

組織の問題点整理 攻撃事例

カタログリスト 各パターンマージ設計対策

仕様項目集（ TRM と整合）

設計対策セット

各パターンをマージした設計対策・品質要求項目リスト「仕様項目集（TRMと整合）」

脅威の実態の明確化と対策の明示 トポロジ基本図

重要脅威カタログの構造

第２章

３．３節 ３．２節 第５章

３．４節

４．２節

第６章 ３．４節

（トレース結果）

要求仕様ひな形 試験要求ひな形

要求仕様ひな形 試験要求ひな形 振る舞い図

攻撃仕様 トポロジ基本図上の 設計対策概要

設計対策セット

（トレース結果）

（６．１節）

（６．２節）

図 1-1 脅威カタログの構成

脅威カタログに含まれている各要素については、以降の節で説明されるが、

リスク要件リファレンスモデルにおける検討プロセスを一覧するものとなっ ている。

リスク要件リファレンスモデルは、システムの関係者に共通言語とコミュ ニケーションの場を提供する仕組みを重視しているので、情報システムを検 討する場合にそれぞれ異なった目的で、いくつかの利用場面を想定すること ができる。

（１） 本モデルを用いた設計要件の検討

リスク要件リファレンスモデルの作成目的の中心にあった利用形態であり、

133

構築対象となるシステムの設計時に要件として取り込む事項の検討に用いら れる。情報システムの要件定義を行う際に、発注者と受注者の間でコミュニ ケーションが適切に実施されるためには、システムを構想した時点からセキ ュリティ要件を確定するプロセスを共有しておく必要がある。さらに、セキ ュリティの分野の対策は、専門性の高い技術的な検証に裏付けられた対応が 求められることが多く、セキュリティ要件にもその事情が反映する。しかし、

発注者および受注者の窓口担当は、セキュリティ対策の領域に明るくない場 合も多い事を想定した運用体制も必要となる。

以下に、この利用場面でのイメージを示す。

重要脅威カタログ パターン概要図 振る舞い図 攻撃仕様 トポロジ基本図

有効な設計対策 事例

組織上の問題点 システム構想検討（提案）

基本図（インタネット接続型） 自システムにとって、有効な設計・管理策は何か？（含コスト見積）

自組織にとって、重要業務へのインパクトはどの程度か？

各パターンをマージした設計対策・品質要求項目リスト

「仕様項目集（TRMと整合）」

システム設計・製造（契約）

自組織にとっての影響、システム現象（何が起きる）は何か？

（BCM:発生を前提にダメージコントロール計画）

ＲＭの参照により、自組織における業務インパクトを分析し各所調整及びシステム機能要求要否を判断。

システム設計製造時においては、RM細部内容を設計・テスト等に利用。

（BCM:インパクト分析）

各所調整・要求判断 ＲＭ

基本参照モデル

ＲＭ利用者

システム製造時の設計製 造・テスト等にもRMを利用

改竄された正規Webサイトの閲覧により、マルウエア配布サイトに誘導。認証 情報等の搾取とバックドアの設置が行われる。

搾取された認証情報の利用により、自システムの管理Webサイト改ざん及び 攻撃利用基盤の拡大が図られる。

Web管理を裏Lan設計とする事により、搾取情報を用いた Webサイト誘導改竄 は防止可能。（重要業務インパクトが存在する場合、２要素認証がベター）

その他の対策効果は運用管理能力等に依存。

以下のシステムであった場合であった場合、取引停止、販売等ビジネス中断、

損害賠償等の業務インパクトの可能性があり得る。（組織活動に与える影響）

・顧客情報を預かるシステム

・ネット決済ビジネスを含むシステム

・支払決済決算に関するシステム、融資・資産運用等

サイト管理の委託構造が多層分散されている場合、事故発生時の賠償責任の 所在と契約内容との関係が契約課題となる可能性を検討。

システム基本構成から 参照部分を特定

トレース分析結果

パターン1：「正規Web 閲覧によるマル ウェア感染（情報搾取）」のケース

図 1-2 要件判断プロセスでの活用イメージ

（２） 本モデルを用いたインシデント発生時への対処

リスク要件リファレンスモデルでは、脅威カタログとして、脅威対象のパ

ターンとシステムトポロジのパターンが用意されている。この中では、それ

ぞれの脅威対象がシステムの中でどのように振る舞い、どこで問題の現象が

発現するかを把握する事はできるようになっている。したがって、既存のシ

ステムに対してサイバー攻撃等を受けた際には、システムのどの部分で問題

が発生していたかという事を特定し、その箇所に対する回避策等の暫定的な

対策をシステムに講ずるための検討に用いる事ができる。

134

以下にこの利用場面でのイメージを示す。

サイバー攻撃事案発生時、自システムへの影響と回避策設計の有無、組織活動に与える影響の検討、暫定対策等の確認並びに対 策立案に利用。

重要脅威カタログ パターン概要図 振る舞い図 攻撃仕様 トポロジ基本図

有効な設計対策 事例

組織上の問題点 サイバー攻撃発生時

基本図（インタネット接続型）

ＲＭ 基本参照モデル システム基本構成から 参照部分を特定

ＲＭ利用者

自組織にとっての影響、システム現象（何が起きる）は何か？

発生サイバー攻撃に該当する「攻撃仕様と有効な設計対策」から自システム を参照確認。 組織活動に与える影響を検討。

「最悪、この通信を遮断出来ればシステムは防御」部分の対処がなされてい れば、“攻撃目的の達成（最悪事態）”にまでは至らない。

各所調整・暫定対策検討（含工数）判断 トレース分析結果

暫定対策等検討

その他、利用可能な確認tool等の利用

■ MyJVN バージョンチェッカ

■ MyJVN セキュリティ設定チェッカ

図 1-3 インシデント発生時に暫定的な対策の検討イメージ

実際に標的型メール攻撃を受けた時の影響や危険性の判断と対応検討を行う 場合の利用について以下に一例を示す。

標的型メール添付マルウエアの解析結果が得られる場合は、その結果とリス ク要件リファレンスモデルの該当パターン分析結果と照合する事で、その危険 性及び必要な設計管理対策が見いだせる。

自システムにこの設計管理対策が既に施されていた場合は、情報漏洩（搾取）

の危険性は少ないと速やかに判断できる。

また、概要整理部分を用いて直ちに組織各所への説明及び調整に入る事が可

能となる。

135

パターン2：「標的型メール攻撃（情報搾取）」のバリエーション１：メール添付ファイル系cに該当。

:系bは443を使い、系cはPOST,GETを使う特徴で区分整理

危険性：bot化による各種情報搾取（インターネット上のサーバへ搾取情報をアップ）

多段型のマルウエアダウンロード

設計管理対策：GET,POSTコマンドで情報送信を使用するため、通信遮断可。

Webブラウザからのものに似ているが、Accepted-Languageヘッが無い。

この辺りをFirewallルールに入れられれば防御可能の可能性有り。

メール添付マルウエア解析結果

動的解析（追跡観測）

静的解析

参照

攻撃発生時のパターン照合による影響と対策判断 攻撃発生時のメール添付マルウエア解析情報とRM重要脅威カタログを 照合し、攻撃概要、トレース結果による影響と対策を確認。組織へのイン パクトと対処優先度を判断し、組織内説明等に利用

攻撃情報等

攻撃パターン照合

攻撃概要の確認

攻撃詳細動作の確認

危険性、影響範囲、対策有無の確認

図 1-4 攻撃発生時の影響と対策分析での使用事例

（３） 本モデルを用いた複合的もしくは部分的なシステム導入での検討 リスク要件リファレンスモデルでは、典型的なシステム構成を想定してセ キュリティの要件を整理しているが、実際の規模が大きなシステムでは、骨 幹 LAN、共用 LAN および支所等とシステムが接続されているが、それぞれの セキュリティポリシが異なっている場合等があり得る。このような複合的な 接続関係を持ったシステムに対しては、例えば、霞が関 WAN をインターネッ トと同様に見立てる事によって、リスク要件リファレンスモデルの運用も可 能である。

また、サーバのみを導入するような特定部位のみに使う場合にもネットワ

ークとしての脅威は変わらないので、骨幹となるシステムトポロジを含めて

検討することが必要となる。

136

骨幹Lan、共用Wan、支所等セキュリティポリシの異なるシステム接続形態でのＲＭ運用例 骨幹Ｌａｎ等に追加するシステム発注の要件定義に関する調整場面

骨幹Lan部分

②別契約追加部分

①支所部分

ケース１：共用Wan等、別ポリシで設計管理システムを介する場合（①）

共用Wan等をインターネットと同様と見立てて、重要脅威カタログで定義される攻撃仕様のトレース結果を参照利用。

ケース２：骨幹Lan上に別契約で機能追加する場合（②）

共用Wan

攻撃脅威

契約時に骨幹Lanとの接続仕様調整を規定。その上で、骨幹lanを介したトレース結果を参照利用。

図 1-5 骨幹 Lan に追加する契約形態での使用事例

1.1 リスク要件リファレンスモデルの運用の流れ

本節以降では、リスク要件リファレンスモデルの利用方法として中心的な役割 を担っている、設計要件の検討時における運用を中心に説明を加える。他の利 用の方法についても基本となる設計要件の検討での使い方を把握する事で比較 的容易に応用展開が可能である。

実際の運用に際して、本ドキュメントで整理された内容を有効に活用していく ために、いくつかの運用の前提となる条件を整理する。

（Ａ）運用に際しての体制面での前提条件

リスク要件リファレンスモデル集を有効に運用するためには、発注者

と受注者の間で正しく情報共有ができている事が重要である。しかなが

ら、セキュリティ関連は専門性が高い分野である事から、受注者である

システムベンダの SE も本ドキュメントのみで正しい理解を得られるとは

限らない。この点を考慮して、リスク要件リファレンスモデルを運用す

る際には、受注者側のベンダにセキュリティの専門家が少なくとも 1 名

137

以上がアドバイザーとして参加している体制で本ドキュメントが活用さ れる事を前提とする。

設計検討の場合で実務的な活用を行うためには、本ドキュメントに直 接記載された事項以外の要因がセキュリティ設計要件を詰める際に必要 となる場合もあるので、リスク要件リファレンスモデルの本質を理解し ているセキュリティの専門家が発注者とシステムベンダの SE をサポート することで精度の高い効果的な設計検討の体制を構築する事ができる。

具体的には、セキュリティ専門家は、リファレンスモデルを活用して、

発注者と受注側の SE のコミュニケーションの橋渡しを行う。本ドキュメ ントはその際の共通言語として利用される事を想定している。

ただし、そのような専門家がいない場合には、雛型となる仕様書のパ ターンをコピーする事で活用する事も可能としている。

（Ｂ）対象となるシステム規模に関する前提条件

リスク要件リファレンスモデルが対象としているシステムは、セキュ リティに関する対策が比較的複雑で影響範囲を確認する事も簡単ではな いシステムを想定している。したがって、本ドキュメントの運用時にお けるセキュリティ専門家のサポート等の体制を勘案した場合には、投入 可能な予算やリソースという面から見ても対象とするシステム規模は比 較的大きなものでなくてはならないと考えている。

規模が小さなシステムであれば、そこにおけるリスク評価をより的確 に実施して把握しやすい事やそこから導出される対策もより簡便な形で 構築できる可能性も高いと考えられるので、リスク要件リファレンスモ デルとは別の枠組みで検討する事の方が、効率がよい場合もある。

上記の運用上の条件の下で、セキュリティの設計要件を詰めるプロセスは以 下のように行われる。

（１） 運用の標準的な手順

リスク要件リファレンスモデルを用いてシステムを要求する発注者と具

体的なシステムを提案し受注するシステムベンダの間での標準的なやり取

りの流れは以下の図のようなイメージで進められていく。このようなやり取

りは、官民を問わず比較的規模が大きなシステムの設計時には通常実施され

ている流れの一部として組み込むことが可能である。

138

振る舞いパターン

○振る舞いパターン１

「Webサイト誘導型モデル」

○事例

○攻撃成功条件（パス単位）

・使用脆弱性

・使用通信

・コマンド内容

・erc

トポロジモデル

○トポロジモデル１

「イントラモデル」

○設定情報（NTW、SV単位）

・使用サービスパス

・開放ポート

・ゾーン設計

・etc

机上攻撃トレース結果

○振る舞いモデルでの影響分析

○トレース結果

・影響部位

・影響内容

・etc

影響・危険性（リスク）

*組織業務への影響

・何がされるのか？

・何が起きるのか？

組織上の問題認識

*組織業務上の問題視点

・何が困るのか？

・どのような組織問題なのか？

設計対策

対処設計セット

*振る舞いモデルでの机上攻 撃トレースの影響（被害範 囲）を回避するための設計内 容を整理

運用管理対策 設計時に利用可能 なジグtool

*振る舞いモデルに示す攻撃 の影響を緩和する為に考慮 すべき要素と手法について 整理（対応優先判断の技等）

運用管理時に利用 可能なジグtool 運用管理時に考慮すべ き要素

・対応優先度ファクター 脅威

脅威 影響分析

危険性

原因 問題認識

対策手段

発注要件調整場面 サービス仕様からシステム 特性の特定

RMプロセス分析結果を提案

（含むコスト見積もり）

システム特性から対象となる 脅威振る舞いパターンを特定 特定した振る舞いパターンの 対象トポロジのトレース結果

（危険性）を確認 システム特性に近いひな形 トポロジモデルを特定（必要 に応じカスタマイズ）

危険性から組織上の問題点 を整理（システムの設計対象 サービス業務）

システム製造プロセス RM プロセス分析

問題点整理の確認により発注要件要否を判断

（含むコスト見積もり）

PM プロセス結果を基に要求 項目を仕様書規定

TRM?

＊RMプロセスでは、仕様書記載レベルも規定（TRMと整合）

RMプロセスで分析した結果を基に、以降の製造各工程に展 開（システム基本設計、製造、試験等...）

RMプロセス分析結果

①

②

③

④

設計管理対策を提案（対策 後振る舞いトレース結果）

関連部門、下請け

⑥

要求側

提案側

RMはRFPの一部として運用？

脅威の実態の明確化

社内のセキュリティ設計 要件リストを RM と照合し て設計管理対策をFIX

② ①

③

④

⑥

⑤

図 1-6 標準的な運用の流れ

リスク要件リファレンスモデルでは、脅威対象となるウィルスの振る舞いパタ ーンとそれらがシステムトポロジ上でどのような障害を引き起こすのかを机上 で確認した結果とそれに基づいたセキュリティ対策セットが一連の流れとして 脅威カタログとして整理されている。

これらの基本情報を用いて上記の標準的なプロセスを踏んで設計要件を検討 していく事になるが、誰がリスク要件リファレンスモデルの主要な利用者とな り、各プロセスで誰が何を判断しなくてはならないかにも留意して取捨選別し ながら手順を組み立てる必要がある。

リスク要件リファレンスモデルの中心的な利用者としては、本ドキュメント

の内容を適切に理解し応用動作を含めた運用を想定するとある程度のセキュリ

ティの専門知識を有する人材が求められる。本ドキュメントの運用前提の体制

挙げたセキュリティの専門家が中心となり、システムベンダの技術者への説明

や要求元の発注者への説明に脅威カタログ等を用いて実施するのが設計要件を

決める際には有効である。

139

表 1-1 標準手順における主たる利用者とドキュメントとの関係 手

順

RM ドキュ

メント活用

システム要求元

（発注者）

システムベンダ SE

（受注者）

セキュリティ専門家

（アドバイザー）

１ システム機能要求お よび諸条件の提示

２ 実現可能な具体的シ

ステム構成の検討

３ シ ス テ ム ト ポロジ類型

類似するシステムト ポロジとの対応選択

４ 脅威対象の特定 脅威対象の特定 脅威対象に関するア ドバイス

脅威対象の共有 脅威対象の共有 脅威対象の共有

５ 振 る 舞 い パ ターン

脅威対象となる振る 舞いパターンの選択

６ 脅威トレース結果の

選択

７ 脅 威 ト レ ー

ス結果 リスク現象の把握 リスク現象の把握と

理解 リスク現象の説明

８ 組 織 内 影 響 と問題点

組織内影響の検討と 設計対策範囲の確認 と判断

組織影響の検討支援 組織影響の検討支援

対策範囲の共有 対策範囲の共有 対策範囲の共有

９ 対 策 セ ッ ト 一覧

システムへの対策事 項の検討

システムへの対策セ ットの検討支援

10 システムの提案

11 システム提案の合意 システム提案の合意

140 1.2 システムトポロジモデルの特定

リスク要件リファレンスモデルの最初のステップとして、設計対象としてい るシステムに関するネットワークの構成と類似するシステムトポロジを与えら れたモデルから特定する必要がある。このシステムトポロジの類型として、４ つのパターンを用意している。

システムトポロジモデルを特定する際には、構築対象とするネットワークの システムトポロジを整理する必要がある。ただし、個々のシステムは、実現す る機能と仕組みに応じて、システム規模の相違やネットワーク構成の複雑度等 がまちまちである。したがって、直接的にシステムトポロジモデルと一致する ものを見出すことは難しい。そこで、実際のネットワークの構成をここで提供 されているシステムトポロジモデルと対応させるために以下のポイントが重要 となる。

(1) ネットワークの利用環境

リスク要件リファレンスモデルで、提示している４つのシステムトポロジ モデルは、それぞれネットワークの利用形態に特徴がある。この利用形態 によって、自組織でネットワーク構成やサーバ等が調整できるものから、

契約等でその利用範囲等が制約されているようなものもある。

設計対象としているシステムトポロジの利用形態が以下のどのタイプに なっているかを選択することが重要である。

－イントラネットタイプ －閉域型ネットワークタイプ －IDC 利用型ネットワークタイプ －Saas 利用型ネットワークタイプ

これらは、システムトポロジの構成もさることながら、各サービス提供 企業との契約の問題により責任分解点に影響を与える可能性が大きい。し たがって、セキュリティ対策等を包括的に検討する際には、第三者提供の サービスとセキュリティに関するう条件を正しく把握しておく事が肝要 となる。

(2) 骨幹となるシステムトポロジ構成の類似性

設計対象としたシステムを構築するために、ネットワーク構成上重要なネ

ットワークパスの部分で類似のシステムトポロジ構成を持っているもの

があれば、そのシステムトポロジモデルを選択することでシステムの挙動

141 を確認することができる。

システムの設計範囲が、ネットワーク的に緊密に連携しているより大き なシステムの一部分を調達するような場合には、そのシステムを含む全体 のシステムトポロジとして、類似するシステムトポロジモデルを特定する 必要がある。

(3) 複数のシステムトポロジ要素の混在

設計対象のシステムが、システムトポロジモデルで示した要素を複数有し ており、それぞれに重要な役割を担っている場合には、それぞれに対応し たシステムトポロジモデルでの挙動を通して検討を加えるのがよい。複数 の要素が混在した場合に、セキュリティポリシの相違やシステムの連椄部 等の相互に与える影響を考慮する必要がある場合については、今後の検証 の中で精緻化していく予定である。

以下に、システムトポロジモデルとして提示されている４つの典型的なシス テムトポロジモデルを示す。

No モデル名 システムトポロジモデルの形態

1 イントラ

ネットモ

デル インターネット

（LGWAN、霞ヶ関WAN）

インターネット接続システム

構内システム

インターネット接続

セキュリティトポロジーマップ

SECURITY MAP INTRANET(OPEN) MAP

基本図 （インタネット接続型）

ルーター（L3スイッチ）

ルーター（L3ス イッチ）

アプリケーションセグメント スイッチ（Ｌ２）

対策セグメント スイッチ（Ｌ２）

インターネット接続 セグメント スイッチ（Ｌ２）

イントラネットサーバ セグメント スイッチ（Ｌ２）

管理・その他 セグメント スイッチ（Ｌ２）

利用者セグメント スイッチ（Ｌ２）

利用者セグメント スイッチ（Ｌ２）

L4ファイア ウォール

L4ファイア ウォール

分室セグメント スイッチ（Ｌ２）

分室システム

図 1-7 イントラネットタイプのシステムトポロジモデル

一般的な自社のサーバ群で構成されたイントラネットのシステムトポロジを

示している。構内システムはクライアントの数等ではより複雑なネットワーク

構成を取る事もありえるが、ここでは、サーバの設置を中心にした類型を示し

ている。ここで、設置されているサーバは比較的多く使用されているサーバに

142

ついては、出来るだけ包括的に記載されているので、必要に応じて取捨選別し て、検討対象に近い構成にすればよい。

No モデル名 システムトポロジモデルの形態 2 閉 域 型 モ

デル

図 1-8 閉域型ネットワークタイプのシステムトポロジモデル

直接、外部のインターネットに接続できないネットワーク構成になっている。

主に、工場やプラント・医療機器等のネットワーク化で用いられている。この タイプのネットワーク構成は、特殊なものが多いので、設置サーバ群について は、設計対象で必要なものに置き換えて検討する事も可能である。

No モデル名 システムトポロジモデルの形態 3 iDC モ デ

ル

図 1-9 IDC 利用ネットワークタイプのシステムトポロジモデル

143

データセンタを利用してイントラネットを構成するネットワークの形態であ る。データセンタの利用の仕方は様々あるが、サーバのハウジングという形態 で用いている場合には、No.1 のイントラネットモデルが適している場合が多い。

ここでは、データセンタが提供しているサービスを利用してイントラを構築し ている形をとり、各組織からデータセンタまでは、VPN で接続されていると想定 したシステムトポロジモデルとなっている。

No モデル名 システムトポロジモデルの形態 4 SaaS モデ

ル

図 1-10 Saas 利用ネットワークのシステムトポロジモデル

Saas 型のシステムトポロジになっている。比較的大きな組織においては、

全てのサービスを Saas で行うという事は少ないと思われるが、中堅・中小企 業のネットワークもしくは、社内サービスの一部として Saas を使用するとい う事例は多い。このモデルの特徴としては、サーバにアクセスする場合に、

インターネットの領域を経由するという事である。

特に、昨今のクラウドの利用という形態は、仮想化したサーバを Saas のサ

ービスとして利用する形態に近いと位置づけられる。

144 1.3 振る舞いパターンの特定

設計対象となるシステムに対応してシステムトポロジモデルが特定できた ならば、システムの脅威対象となる振る舞いパターンを検討して特定する。

振る舞いパターンは、昨今のサイバー攻撃の中心となっているマルウェア を中心としてその振る舞いの流れをパターン化したものである。

振る舞いパターンは、全部で 6 パターンを用意している。また、各パター ンの中で特殊な振る舞いをするものについては、個別ウィルス、個別攻撃に 近い「バリエーション」という区分が設定してある。

バリエーション２：Spamメール不正url誘導系 パターン1：「正規Web 閲覧によるマルウェア感染（情報搾取）」

バリエーション２："**.ru:8080ウイルス系感染サイト閲覧"

バリエーション１："gumblar.xウイルス系感染サイト閲覧"

パターン2：「標的型メール攻撃（情報搾取）」

バリエーション１：メール添付ファイル系ab

パターン4：「媒体介在マルウェア感染（情報搾取）」

バリエーション３："SQLインジェクション系感染サイト閲覧"

パターン3：「正規Ｗｅｂ改竄による誘導」

バリエーション２： "SQLインジェクション改竄系"

バリエーション１： "gumblar.xウイルス改竄系"

パターン5：「複合DDoS攻撃（攻撃基盤）」

バリエーション４："検索サイト結果からのリダイレクト系"

参考：従来脅威（現在も攻撃が観測されるもの）

バリエーション１： "USB感染拡散（Ｃｏｎｆｉｃｋｅｒ）系"

パターン6：「通常DDoS攻撃」

バリエーション１： "SSL接続DDoS系"

韓国DDoSに見られる「スマートグリッド的DDoS の攻撃基盤特性」を反映

既存iDC等サービスを利用した攻撃用bot作成 Gumblar感染サイトをイントラから閲覧するケース 当該イントラのサイト管理端末の感染による自動 改竄のケース

FTP基盤を使って感染拡大するソリューション 組織的影響の大きい個々のインシデントは、何れか のパターンに類し、かつ同一設計対策でカバー出来 るインシデントを同一分類とする形にパターンを整理

google攻撃手法（Operation “Aurora”）と言わ れているモデル

BotnetによるSSL接続DDoS攻撃 ネットビジネス決済への影響

図 1-11 振る舞いパターンの種類

図中に○が付いているパターンとバリエーションは、脅威トレースを実施 した結果が対応していることを示している。

設計対象のシステムで想定される振る舞いパターンは、各パターンとバリ エーションで示されている攻撃要素から脅威と考えられるパターンを選択す ることになる。ただし、最近のマルウェアは単機能のウィルスとして動作す るものよりは、複合的なマルウェアから構成される一連のウィルスによる複 雑な攻撃パターンのものが増えてきている。

そこで、各パターンの典型的な流れを確認できる振る舞い図を以下に示す。

145

パターン1：「正規Web 閲覧によるマルウェア感染（情報搾取）」

マルウエア配布サーバ 正規改竄サーバ

搾取情報格納サーバ 攻撃者

正規改竄サーバ 数千サイト規模

攻撃基盤 攻撃利用基盤（正規サーバを利用）

基幹システム

搾取情報の各 種犯罪等利用

一般PC 認証等情報

搾取サイト管理情報 を利用した改竄と バックドア設置等

改竄された正規Webサイトの閲覧により、マルウエア配布サイトに誘導。認証情報等の搾取とバックドアの設置が行われる。

搾取された認証情報の利用により、攻撃利用基盤の拡大が図られる。

攻撃利用基盤（正規サーバを利用）拡大 各種登録アカウント情報

認証等情報 脆弱性利用

Webサーバ

最悪、この通信を遮断出 来ればシステムは防御 搾取認証等情報

図 1-12 正規 WEB 閲覧によるマルウェア感染の振る舞い

コマンド&マルウエア配布サーバ 搾取情報格納サーバ 攻撃基盤

基幹システム

搾取情報の各 種犯罪等利用

操作等情報

マルウエア付き騙しメールを送り、開封によりコマンド＆マルウエア接続サーバの指令下に入る（ボット化）。これにより、PC操作情 報等を搾取される。特定目標限定でメールが送付されるので「標的型攻撃」と呼ばれる。

パターン2：「標的型メール攻撃（情報搾取）」

攻撃者

脆弱性利用

イントラ内ボット化 リモートコントロール配下

最悪、この通信を遮断出 来ればシステムは防御 操作等情報

図 1-4 標的型メール攻撃の振る舞い

146

基幹システム パターン3：「正規Ｗｅｂ改竄による誘導」

サイト閲覧者をマルウエアダウンロードサイトに誘導するため正規Webサイトを改竄する。

搾取情報格納サーバ 攻撃者 攻撃基盤

搾取認証等情報

誘導の為の改竄

次回侵入のためのバックドアの設置

Webサーバ 管理委託先

管理委託先 正規改竄サーバ

搾取認証等情報

最悪、この通信を遮断出 来ればシステムは防御

図 1-5 正規 WEB 改竄による誘導の振る舞い

マルウエア配布サーバ 攻撃利用基盤（正規サーバを利用）

パターン4：「媒体介在マルウェア感染（情報搾取）」

基幹システム 一般PC

製品開発ライン等

搾取情報格納サーバ 攻撃者 攻撃基盤

関連会社等 関連会社等

搾取認証等情報 搾取情報の各

種犯罪等利用

脆弱性利用 脆弱性利用 システム負荷等、感染通

信監視による初動対処

製品開発ライン等種々の場面で媒体等に混入したウイルスが、媒体を介してシステムに混入。混入後、攻撃利用基盤上のマルウエ アにアップデート。同時に、基幹システム内への感染拡大及び媒体を介して感染拡大を図る。

ネットワーク障害、サーバ障害双方に跨る影響現象が発生するため、両管理組織間とセキュリティ部門との連携と切り分け手順等 の準備が効果的。

アップデートするマルウエアがBotだった場合、システムbot化し、情報を搾取の可能性有り。

感染連鎖拡大

た場合は情報搾取 最悪、この通信を遮断出

来ればウイルスのアップ デートは無い。

対応度はネットワーク障害、サーバ 障害に跨る「初動対処手順」の準備 如何に依存（混乱回避）

図 1-6 媒体介在マルウェア感染の振る舞い

147

攻撃利用基盤 パターン5：「複合DDoS攻撃（攻撃基盤）」

基幹システム ﾏﾙｳｪｱ感染

Webサーバ等 正規改竄サーバ

ﾏﾙｳｪｱ感染 ﾏﾙｳｪｱ感染

ﾏﾙｳｪｱ感染 ﾏﾙｳｪｱ感染

攻撃利用基盤（正規サーバと正規サービスを利用）

大量スパム メール送信 攻撃基盤 攻撃者

攻撃基盤

攻撃指示 情報 等

ファイル 破壊

この通信を遮断又は緩和 出来ればシステムは防御 マルウェアに感染したPCが、 Web サーバに対して DDoS 攻撃を実施しつつ、悪意のあるサーバから攻撃指示情報や他のマルウェ アをダウンロードし、マルウェアに感染したPCにおいて大量スパムメール送信やファイル破壊を行う。

複合型のDDoSは、従来安全性を担保する前提で構築された既存サービス網（VPN網）の使用や機能分散されたそれぞれのマルウ エアが連動して攻撃機能を発揮するなど、攻撃利用基盤構築に関して新しいタイプの攻撃。防御情報の分析が困難なため、今後多 用な攻撃に利用され始めると対応の難しい脅威となる。

複合DDoSの特徴：

既存ビジネスサービスネットを用いたDDoS攻撃利用基盤 1.既存ビジネスサービスネット（VPNサービス）を用いたDDoS攻撃基盤の設置（攻撃スタイルとして定着化）

2.全体設計に基づく攻撃用のマルウエアが単機能で複数存在し有機的に攻撃動作し時間的に仕様が変化（攻撃仕様の全体分析がとても困難）

3.分析と追跡が非常に困難なので、防御情報の把握が難しい。

4.正規サーバ改竄の攻撃指示サーバが、国外に大量に設置され、ブラックリストでの対策を困難にさせた理由となっている。

重要サービスシステムの場合、サービスダ ウン時の影響インパクト性を検討し、ダメー ジコントロールを検討しておく必要がある。

マルウエア配布サーバ

ＩＳＰ（通信事業者）

迅速なマルウェアの攻撃仕様等の 情報が入手出来、システムの

緩和機能設定と

サービ スに反映できれば一定の防御は 可能（連携対処）

図 1-7 複合 DDOS 攻撃の振る舞い

基幹システム Webサーバ等

攻撃利用基盤

ﾏﾙｳｪｱ感染 ﾏﾙｳｪｱ感染

ﾏﾙｳｪｱ感染 ﾏﾙｳｪｱ感染

ﾏﾙｳｪｱ感染 パターン6：「通常DDoS攻撃」

重要サービスシステムの場合、サービスダ ウン時の影響インパクト性を検討し、ダメー ジコントロールを検討しておく必要がある。

Botnetを利用した攻撃利用基盤 攻撃基盤 攻撃者

攻撃指示

この通信を遮断又は緩和 出来ればシステムは防御 ＩＳＰ（通信事業者）

迅速なマルウェアの攻撃仕様等の 情報が入手出来、システムの

スに反映できれば一定の防御は 可能（連携対処）

ネット決済サイトビジネスへのDDoSにより、販売決済が不能。ビジネスへの影響が発生するが、対応策検討にはビジネスインパクトと 対策コストとの総合判断が必要。

回線負荷を起こすDDoS（回線帯域系DoS）の場合は、サイト側対応での防御が出来ないため、契約内容含めた回線側との対応調整 が必要。この場合もコスト対効果を勘案しつつの検討になる。

処理負荷加系DoSの場合は、サイト側のDoS緩和機能の設定による回避を行うが、この場合設定に必要な攻撃分析情報を入手する 必要があり。この為の組織ラインを確保しておく必要がある。

SSL接続DoS攻撃の場合、SSLサイトにアクセスできない。

DDoS種別：（種別により対策箇所が異なる）

・回線帯域系

・サーバ処理付加系（Web、DNS、SSL等）

SSLサービス未提供サイトへ のSSL接続DoS攻撃はファイ アウォールでブロック可 Webサイトと他のサービス（主にメー

ル）を別回線として設計する事により、

システム全体に対する影響を極限可

図 1-8 通常 DDOS 攻撃の振る舞い

148 1.4 脅威トレース結果の照合

設計対象のシステムに対するトポロジモデルと振る舞いパターンの組み合 わせが特定できたら、リスク要件リファレンスモデルで実施された脅威トレー スの結果と参照する。ただし、全ての組み合わせについて脅威トレースが実施 されているわけではないので、振る舞いパターンとトレースの照合表を使うこ とで、事前に準備されているトレース結果から該当するトレースの基本を確認 する。

表 1-2 振る舞いパターンと脅威トレース実施の照合表

○：全てのﾊﾟｽをﾄﾚｰｽ（●は今回ﾄﾚｰｽ） △：一部のﾊﾟｽをﾄﾚｰｽ ×：脅威ﾄﾚｰｽ不要

振る舞いﾊﾟﾀｰﾝ

システム トポロジ モデル

脅威トレ ースの必 要性有無

トレース実施有無の理由

パターン１：

正規 Web 閲覧によるマ ルウェア感染（情報搾 取）

イ ン ト ラ ネ

ット ●

・他の振る舞いﾊﾟﾀｰﾝ(媒体介在マルウ ェア感染)との共通部分を含めて全 プロセスをトレースする。

閉域型 × ・インターネット経由の攻撃を受けな いため。

iDC ○

・イントラネットの場合と同じく、他 の振る舞いﾊﾟﾀｰﾝとの共通部分を含 めて全プロセスをトレースする。

Saas △ ・イントラネットの構内システム部分

の動きとほぼ同じ。

パターン２：

標的型メール攻撃（情報 搾取）

イ ン ト ラ ネ

ット ●

・メール添付の悪性コードの読み込み マルウェアダウンロード、情報の盗 み出し、ボット化の全プロセスをト レースする。

閉域型 × ・インターネット経由の攻撃を受けな いため。

iDC ○ ・イントラの場合と同じく全プロセス をトレースする。

Saas △ ・イントラネットの構内システム部分

の動きとほぼ同じ。

149

○：全てのﾊﾟｽをﾄﾚｰｽ（●は今回ﾄﾚｰｽ） △：一部のﾊﾟｽをﾄﾚｰｽ ×：脅威ﾄﾚｰｽ不要

振る舞いﾊﾟﾀｰﾝ

システム トポロジ モデル

脅威トレ ースの必 要性有無

トレース実施有無の理由

パターン３：

正規Ｗｅｂ改竄による 誘導

イ ン ト ラ ネ

ット ○ ・ Web 改竄に至る全プロセスをトレー スする。

閉域型 × ・インターネット経由の攻撃を受けな いため。

iDC ○

・ iDC 内のｻｰﾊﾞ上で公開している Web の改竄に至る全プロセスをトレー スする。

Saas ○ ・Saas 上で公開している Web の改竄

のプロセスをトレースする。

パターン４：

媒体介在 マルウェア感 染（情報搾取）

イ ン ト ラ ネ

ット △

・悪性コードに感染した媒体介在持 込、悪性コードによる感染拡大行動 をトレースする。

・ 2 次攻撃(悪性サイトに接続させてマ ルウェアダウンロード、情報の盗み 出し)の振る舞いは「正規 Web 閲覧 によるマルウェア感染(情報搾取)」

に同じ。

閉域型 ○

・構成はイントラネットモデルの構内 システム部分と似ているが、セキュ リティ環境が異なることにより対 策も異なるため全プロセスをトレ ースする。

iDC △

・悪性コードに感染した媒体介在持 込、悪性コードによる感染拡大行動 をトレースする。

・マルウェア間戦後の攻撃は「正規 Web 閲覧によるマルウェア感染(情 報搾取)」に同じ。

Saas △ ・イントラネットの構内システム部分

の動きとほぼ同じ。

150

○：全てのﾊﾟｽをﾄﾚｰｽ（●は今回ﾄﾚｰｽ） △：一部のﾊﾟｽをﾄﾚｰｽ ×：脅威ﾄﾚｰｽ不要

振る舞いﾊﾟﾀｰﾝ

システム トポロジ モデル

脅威トレ ースの必 要性有無

トレース実施有無の理由

パターン５：

複合 DDoS 攻撃(攻撃基

盤) イ ン ト ラ ネ

ット △

・攻撃利用基盤として利用するための PC マルウェ感染については振る舞 いパターン１や２と同様のトレー スとなる。

・DDos 攻撃を受けるサーバについて は通常 DDos 攻撃と同様のトレー スとなる。

閉域型 × ・インターネット経由の攻撃を受けな いため。

iDC △

・攻撃利用基盤として利用するための PC マルウェ感染については振る舞 いパターン１や２と同様のトレー スとなる。

・DDos 攻撃を受けるサーバについて はﾊﾟﾀｰﾝ 6 と同様のﾄﾚｰｽとなる。

Saas △

・攻撃利用基盤として利用するための PC マルウェ感染については振る舞 いパターン１や２と同様のﾄﾚｰｽ。

・ DDos 攻撃は SaaS 事業者が対応す る攻撃であるためトレース不要。

パターン６：

通常 DDoS 攻撃

イ ン ト ラ ネ

ット ○ ・攻撃の種類別に対応をﾄﾚｰｽする。

閉域型 × ・インターネット経由の攻撃を受けな いためとレース不要。

iDC ○ ・攻撃の種類別に対応をﾄﾚｰすする。

Saas × ・ SaaS 事業者が対応する攻撃である

ためトレース不要。

151

脅威トレースを実施した振る舞いパターンとシステムトポロジに関するトレ ースの結果から得られた事項を以下に示す。

○パターン１とイントラネットの脅威トレース

・AV パターン及び脆弱性パッチが爾後展開の場合、認証情報（各種登録ア カウント情報）の搾取シーケンスまで到達。

・Web 管理端末の FtpIDPW が搾取され、Web 管理が表 Lan 設計だった場合は 改竄とバックドア設置に成功。

・搾取されるのはブラウザ等のアカウント保存機能で保存された認証情報 全て。

・Web 管理を裏 Lan 設計とする事により、搾取情報を用いた Web サイト誘導 改竄は防止可能。

・IDS(IPS)での防御は SOC の運用に依存する。

○パターン２とイントラネットの脅威トレース

・AV パターン及び脆弱性パッチが爾後展開の場合、操作等情報の搾取シー ケンスまで到達。 （通常、AV 未検知、パッチ未対応脆弱性を使用される事 が多い）

・http、独自プロトコルを使ったコマンドや悪性コード等を受信するため これら通信を遮断する設計が必要。

・多くの標的型マルウエアはプロキシ情報や認証情報を利用しないため、

プロキシサーバを経由しない通信の遮断や認証プロキシでの中継遮断設 定で一定の効果が期待できる。

以下に脅威トレースの結果をシステムトポロジに記したものを示す。

152

基本図（インタネット接続型）

プロキシサーバ

DNS DNS IDS,IPS IDS,IPS FW

FW

ウイルスチェックゲートウエイ

認証情報 認証情報

認証情報

マルウエア配布サイト ID/PW収集サーバ 改竄誘導サイト

L3SW

Web管理端末

ユーザ端末 ユーザセグメント 管理セグメント

インターネット接続セグメント イントラネットSVセグメント

アプリケーションセグメント 対策セグメント

ホワイトリスト：×

・・・・・・・・・・

ブラックリスト：×

・・・・・・・・・・

AVパターン：△

・・・・・・・・・・

脆弱性パッチ：△

・・・・・・・・・・

AVパターン：△

・・・・・・・・・・

振る舞い検知：P

・・・・・・・・・・

FWルール：×

・・・・・・・・・・

IDSシグニチャ：△

・・・・・・・・・・

トポロジ設計：○

・・・・・・・・・・

インターネット（ISP）

インターネット接続部

構内システム部 分散システム部

WWWサーバ サーバ承認、SSL通信

感染監視：P

・・・・・・・・・・

http通信ルート web管理ルート(ftp) 追加：監視機能設計

図 1-9 正規 WEB 閲覧によるマルウェア（gumblar 系）感染（イントラネット）

153

基本図（インタネット接続型）

プロキシサーバ

DNS DNS IDS,IPS IDS,IPS FW

FW

ウイルスチェックゲートウエイ

認証情報 認証情報

認証情報

マルウエア配布サイト ID/PW収集サーバ 改竄誘導サイト

L3SW

Web管理端末

ユーザ端末 ユーザセグメント 管理セグメント

インターネット接続セグメント イントラネットSVセグメント

アプリケーションセグメント 対策セグメント

ホワイトリスト：×

・・・・・・・・・・

ブラックリスト：×

・・・・・・・・・・

AVパターン：△

・・・・・・・・・・

脆弱性パッチ：△

・・・・・・・・・・

AVパターン：△

・・・・・・・・・・

振る舞い検知：P

・・・・・・・・・・

FWルール：○

・・・・・・・・・・

IDSシグニチャ：△

・・・・・・・・・・

トポロジ設計：○

・・・・・・・・・・

インターネット（ISP）

インターネット接続部

構内システム部 分散システム部

WWWサーバ サーバ承認、SSL通信

感染監視：P

・・・・・・・・・・

http通信ルート web管理ルート(ftp) 追加：監視機能設計

図 1-10 正規 WEB 閲覧によるマルウェア感染（イントラネット）

154

FW FW

ウイルスチェックゲートウエイ

WWWサーバ サーバ承認、SSL通信 マルウエア配布・コマンドサーバ

L3SW

Web管理端末

ユーザ端末 ユーザセグメント 管理セグメント

インターネット接続セグメント イントラネットSVセグメント 対策セグメント

インターネット（ISP）

インターネット接続部

構内システム部 分散システム部

ＭＡＩＬリレーサーバ（ｓｍｔｐ)

プロキシサーバ

基本図（インタネット接続型）

搾取情報格納サーバ

IDS,IPS IDS,IPS DNS DNS

POP/グループ ウェアサーバ

操作等情報 AVパターン：△

・・・・・・・・・・

脆弱性パッチ：△

・・・・・・・・・・

AVパターン：△

・・・・・・・・・・

件名、添付種別等フィルター：△

・・・・・・・・・・・

アプリケーションセグメント

IDSシグニチャ：△

・・・・・・・・・・・

認証プロキシ：△

・・・・・・・・・・

トポロジ設計：△

・・・・・・・・・・

振る舞い検知：P

・・・・・・・・・・

POSTコマンドマルウエアダウンロード検知：×

・・・・・・・・・・

アウトバンド通信遮断：P

・・・・・・・・・・

http通信ルート

マルウエア独自通信ルート(443)

追加：監視機能設計

図 1-20 標的型メール攻撃（イントラネット）

155

FW FW

ウイルスチェックゲートウエイ

マルウエア配布・コマンドサーバ

ファイルSV

ユーザ端末 ユーザセグメント 管理セグメント

イントラネットSVセグメント 対策セグメント

インターネット（ISP）

インターネット接続部

構内システム部

分散システム部

基本図（インタネット接続型）

搾取情報格納サーバ

IDS,IPS IDS,IPS

アプリケーションセグメント

感染通信ルート

追加：監視機能設計

負荷及びログ等容量監視：○

ファイルSV、SWの負荷及びログ 等容量監視で検出

SV等のPW変更 ：×

・・・・・・・・・・

ルーティング設定：△

・・・・・・・・・・

DNS

USBのinf検出：△

・・・・・・・・・・

IDS,IPS（インバウド）：△

・・・・・・・・・・

FWルール（外部感染拡散）：○

・・・・・・・・・・

FWルール（マルウエアダウンロード）：×

・・・・・・・・・・

認証SV

PC（認証）一括管理：△

・・・・・・・・・・

USBの自動再生機能の無効化（AutoRun）：△

・・・・・・・・・・

初動対処オペレーション手順の準備：○

・・・・・・・・・・

FW FW

○拠点ルータでの感染通信 ポートの遮断や一時切り離し 等による封じ込め

トポロジ設計：△

・・・・・・・・・・

インターネット接続セグメント プロキシサーバ

脆弱性パッチ：△

・・・・・・・・・・

AVパターン：△

・・・・・・・・・・

FWルール（接続試行）：○

・・・・・・・・・・

L3SW

IDS（アウトバンド）：×

・・・・・・・・・・

GETコマンドでのマルウエアダウンロード阻止：△

・・・・・・・・・・

感染通信ポート遮断：○

・・・・・・・・・・

図 1-21 媒体介在マルウエア感染（イントラネット）

156 1.5 影響と問題点から設計対策範囲の特定

設計要件の検討対象のシステムに対応する脅威トレースの結果を確認する ことで、想定した振る舞いパターンがシステムに与える障害・被害の危険性の 現象を具体的に把握する事ができる。この事実を基にしてシステムへのセキュ リティ対策を講ずる事になるが、どのレベルの対策を付すのが妥当かは、一義 的に決まるものではなく、障害・被害が組織に与えるダメージや影響範囲およ び対策にかかる費用との間で費用対効果も検討する必要がある。

今までのセキュリティ対策は、想定しうる脅威の可能性に対して全方位的に 対策を打つ傾向が多く見られた。しかし、リスク要件リファレンスモデルの整 理から得られる知見を用いる事で、潜在的な脅威とリスクとして顕在化する箇 所を分離することができるので、必要以上の対策を求められなくても済む。し たがって、障害・被害が生じるシステムトポロジの箇所とトレース結果を確認 する事で、本当に重要な場所に適切な対策を行う事でその影響や設計対策の範 囲を特定することができるようになる。

セキュリティの脅威を受ける情報・コンテンツの重要性やシステムの機能の 重要性のみに注目した対策は、結果として過剰な対策を誘導してしまうので、

脅威トレースの結果と重ね合わせてリスクの実態と守るべき情報・機能の重要 性を判断する事が必要となる。

リスク要件リファレンスモデルの対象となるシステムを構築している組織 の多くは、既に BCM 等を構築しており、リスク要因に対するインパクト分析の 実施はされている場合が多いと想定できる。したがって、その分析結果をベー スにして、脅威トレースで得られた結果を重ねる事で組織に与える影響を検討 する事が望ましい。

脅威動向をモニタ して検討

対策を講ずる必要性 は高い

対応する必要性は 少ない

費用対効果を考慮 して検討

図 1-22 システムのリスクレベルの考え方

脅威トレースの結果、システム上の障害や被害が組織全体にどのような影響 を与えるかは、個別の組織特有の問題があるので、一般論では整理する事はで

トレースによる 危険性大

インパクト分析による影響小 インパクト分析による影響大

トレースによる

危険性小

157

きない。したがって、システムを要求した発注者の組織における判断を待つし かないが、先に述べた BCM 等が整備されていない組織においてはその判断は必 ずしも自明な事ではない。

したがって、システムの業務の性格と扱っている情報の種類および障害の出 方を勘案して、厳しい被害状況の例として参考までに以下の表にまとめる。脅 威トレースで把握できたシステムの障害や被害によって、表のような問題が生 じる可能性があるならば、影響についてより具体的な検討が必要と考えられる。

表 1-3 組織への影響の例示（参考） ¹

システム類型 情報搾取 システム・通信障害 管理・運用問題

金銭に関わる システム

アカウント番号の搾取 カード ID の搾取 認証情報の搾取

・課金・支払の停滞

・決済機能の停止

・支払画面の改竄によ る詐欺行為

・フィッシングサイト への誘導

損害賠償の請求 リモートコントロール

情報蓄積に関わる システム

個人情報の搾取 医療・病歴情報の搾取 設計・技術情報の搾取

・参照時間遅延／停止

・登録画面改竄による 情報の直接入手

・サービス提供の停止

管理責任の所在 リモートコントロール ブランド・信頼性

取引・契約に関わる システム

取引 ID の搾取 パスワードの搾取 取引履歴の搾取 認証情報の搾取

・取引の遅延 （取引機会損失）

・誤発注の発生

・受発注の停止

・サービス提供の停止

管理責任の所在 契約責任の所在 リモートコントロール

機器制御・生産ライ ンに関わるシステ

ム

・機能・性能の劣化

・誤作動の発生

・機器の稼働停止

損害賠償の請求 事故発生・人命等の管 理責任

契約責任の所在

組織上の問題点としては、組織内部部署間での「システム部署」 、 「管理部署」 、

「監査部署」 、 「事業部署」との間の責任の分離、責任範囲等の明確化も課題と なる。また、IDC や SaaS のサービスを利用したシステム構成の場合には、自社

1 この表に参考として表わしたものは、各振る舞いパターンから生じた事例ではなく、あく

までも問題の影響が大きくなる可能性がある障害を参考例として記したものである。

158

で管理可能なシステム管理範囲とサービス事業者での管理責任の範囲を明確に し、セキュリティ対策の責任分解点を契約等で確認して組織に与える影響の範 囲を検討する必要がある。

(1) 振る舞いパターンに対応した組織上の問題点

振る舞いパターンよって、攻撃の基盤や組織対応の方法およびシステムと しての信頼基盤対する対応等の事象に特性がある。システムの管理・運営面 からセキュリティの課題が組織に与える問題は、業務システムが持っている 機能面よりは、システム構成（ネットワーク構成、機器構成等）や組織内の 管理部署の運用方法およびシステム開発・保守維持を担当した外部企業との 契約関係という視点からの整理が重要である。

ここでは、 「システムの業務委託」、 「情報基盤の利用」 、 「リモートコント ロール」の３つの問題に焦点を当てて整理する。

○システムの業務委託の問題

規模が比較的大きなシステムは、開発・保守維持関係の企業が多く関わ っている実態があり、システム構成も単純ではなく、IDC を始め複数の サービスを利用している場合が多い。

○情報基盤の利用の問題

業務システムの高度化に伴いネットワーク環境やサーバ環境も複雑な構 成になってきている。その中で各システムは共通の情報基盤を一定の約 束に従って利用する事が多い。

○リモートコントロールの問題

リモートコントロール機能を持つマルウェアの攻撃がある。