脅威と脆弱性とリスク
ここでいきなり、ゆみちゃんからの問題です。
情報セキュリティの分野では「脅威」と「脆弱性」が重要な概念となります。さて、読者の皆さまに質問です
情報セキュリティにおいて、「脅威」と「脆弱性」、コントロールできるのはどちらでしょう?
- 脅威・脆弱性・リスク
- ゼロデイ攻撃
- ホワイトハッカー・グレーハッカー・ブラックハッカー
- スクリプトキディ
- ハクティビスト
- サイバーテロリスト
第6講
それでは答えです。
脅威と脆弱性、コントロールできるのは「脆弱性」です。「脅威」は人間がコントロールができません
いつ狙われるかもわかりませんし、いつ自然災害が起きるのかもわかりません。そのため、脅威はゼロになることはない、ということが言えます。
それでは改めて、脅威とは何か? 説明していきましょう。
脅威とは?
情報資産に対して、損害を与える可能性のある事象や活動を指します。
自然災害、サイバー攻撃、内部不正などが脅威の例です。脅威は常に存在し、完全にゼロにすることはできません。
脆弱性とは?
情報資産が脅威に対して、無防備である状態を指します。
システムの設計ミスや、セキュリティ対策の不備などが脆弱性の原因となります。脆弱性に関しては、発見されるたびに修正や対策を施すことで、ゼロにすることが可能です。
例えば、緊急のWindowsアップデートはすぐに行う、導入しているアプリケーションソフトのバージョンが古い場合は最新版に保つ、安易に推測されそうな弱いパスワードを使わない、などが対策として挙げられます。
ここで、次の計算式を用いることで「リスク」を表現できます。
脅威 × 脆弱性 = リスク
リスクとは?
リスクとは、脅威と脆弱性が組み合わさったときに発生する、情報資産に対する潜在的な損害の可能性を指します。
リスクは、脅威が実際に発生し、脆弱性がそれに対処できない場合にのみ、現実の問題となります。このリスクをできる限り最小にするためにも、脆弱性の数値は常に「0」にしておく必要があると伺えますよね。
例えば、脅威の大きさを「3」、脆弱性の度合いを「2」とすると、リスクは3×2=「6」となります。脅威は常に存在するので、脆弱性を減らすことでリスクを低減できるの
システムの保守契約って、傍からすると何もやっていないように見えるけど、特に脆弱性を減らすためにも重要な契約だよね
リスクの数値で、どのようなアクションを取るか?
それらを設計することをリスク評価といいます。リスク評価に関しては、リスクアセスメントのお話が出てきたときに詳しく解説しますね。
それでは、脆弱性が見つかった場合を考えてみましょう
ゼロデイ攻撃
脆弱性が見つかってから、修正パッチが適用されるまでの間に攻撃されることです。
この期間はシステムが無防備な状態であり、脆弱性が見つかったその日から攻撃を受ける可能性があるため、ゼロデイ攻撃と言われています。
ここで、攻撃者に相当するハッカーの分類を見ておきましょう。
- ホワイトハッカー
- 善意でシステムのセキュリティを強化するために活動するハッカー。また、国家のために働く人(ミッション・イン・ポッシブルのトム・クルーズ演じるイーサン・ハントみたい人)のことを国家アクターとも呼んだりしています
- ブラックハッカー
- 目的を持ってシステムに侵入し、データを盗んだり、破壊したりするハッカー。ホワイトハッカーから見て対極にいる攻撃側のハッカー
- グレーハッカー
- 善意と悪意の中間ハッカー。例として、善意でセキュリティの脆弱性を見つけ、それをみんなに知らせるためYouTubeで公開してしまうような困ったさんが該当します
これらのハッカーの名称は、西部劇に登場する帽子の色に由来しています。
ホワイトハッカーは、白い帽子をかぶったヒーロー。ブラックハッカーは、黒い帽子をかぶった悪役。グレーハッカーは、その中間を示しています。
情報セキュリティには、攻撃者の種類として以下の呼び名もあります。
- スクリプトキディ
- 動作を理解しないまま、好奇心でハッキングツールを使用してしまう人
- ハクティビスト
- 社会的、政治的、宗教的な理由で活動するハッカー
- サイバーテロリスト
- ネットワークを対象に行う破壊活動者。人や社会機能に危害を与える(病院への攻撃など)テロリスト
攻撃者という漠然とした言葉でなく、こんなふうに一覧となるとちょっと怖くなるね。くわばら、くわばら…
第6講のまとめ
脅威は常に存在し続けるものですが、脆弱性は発見して修正することで、可能な限りゼロにすることができます。
脅威と脆弱性の組み合わせがリスクを生み出し、そのリスクを管理することが情報セキュリティの鍵となります。
リスクは可能な限り0であるべきだけれども、脅威は常に存在する。そういうものだと割り切って考えることで、情報セキュリティ担当者の燃え尽き症候群(バーンアウト)を防ぐこともできます