1.3.2 リスクの特定、評価、および軽減

監査によって問題の領域が特定されたら、リスクを評価し、改善計画を立てる必要がありま す。監査人の報告書には、推奨事項およびその他のリスクの分野が含まれる場合があります。この時点から、リスクの特定、評価、および軽減活動を計画することができます。

リスクの特定は、リスクまたはリスクの範囲を文書化するプロセスです。 ITセキュリティでは、リスクはセキュリティ関連のものとなります。

リスク評価は、特定されたリスクに値を割り当てる活動です。 従来のITリスク評価モデルはITセキュリティリスクに対処するのに十分ではないことを理解することが重要となります。 セキュリティリスクアセスメントのモデルやアプローチはすべて、ITセキュリティリスクプ ロファイルに特化している必要があります。

セキュリティリスクは多くの場合、リスクエクスポージャーの観点から測定されます。 リスクエクスポージャーは、潜在的な影響または損失に、その損失が発生する可能性を掛けて計算されます。

たとえば、ある顧客のアカウント情報が流出した場合、どのような影響がありますか? その顧客が1億ドルの資産を預け入れているとしたらどうでしょうか。

発生の可能性は、NIST Publication 800-30、リスクアセスメント実施の手引き[NIST 800-30] に見られるようなセキュリティリスクアセスメントモデルを適用することによって決定することができます。 セキュリティリスク評価を実行するためのもう1つの優れたガイドは、OWASPリスク評価 方法論[OWASP2]です。
以下の情報は[NIST 800-30]から抽象化されたものです。
リスクモデルは、評価されるリスク要因とそれらの要因間の関係を定義します。

リスク要因は、リスク評価においてリスクのレベルを決定するためのインプットとしてリス
クモデルで使用される特性です。
リスク要因は、特定の状況、状況、または状況においてリスクのレベルに強く影響するもの
を強調するためにリスクコミュニケーションでも広く使用されています。

一般的なリスク要因には、脅威、脆弱性、影響、可能性、および素因となる状態が含まれま
す。
リスク要因は、より詳細な特性に分解することができます(例えば、脅威を脅威源と脅威イ
ベントに分解する)。
これらの定義は、リスク、脆弱性、影響、およびその他のリスク要因の明確に定義された属
性に基づいてリスクを効果的に判断するため、組織がリスク評価を行う前に文書化すること
が重要です。

脅威
脅威とは、情報の不正アクセス、破壊、開示、改変、またはDoSを介して情報システムを介 して組織の活動や資産、個人、他の組織、または国に悪影響を及ぼす可能性があるあらゆる 状況またはイベントのことです。
脅威イベントは脅威の原因によって引き起こされます。

脅威の原因は次のとおりです。
* 脆弱性の悪用を目的とした意図と方法
* 誤って脆弱性を悪用する可能性がある状況と方法
一般に、脅威の種類には次のものがあります。
* 悪意のあるサイバー攻撃または物理的攻撃
* 作為または不作為のヒューマンエラー
* 組織が管理するリソース(ハードウェア、ソフトウェア、環境管理など)の構造的な障害 * 組織の制御を超えた自然災害および人為的災害、事故、および失敗

脅威の発生源に関するさまざまな分類法が開発されています。脅威の発生源に関する分類法の中には、悪影響を使用するものがあります。 たとえば、DoS攻撃、悪意のあるシステム管理者による意図的な行為、管理エラー、ハード ウェア障害、またはハードウェア障害、停電によって、プロビジョニングサーバがオフラインになることがあります。

脆弱性とその素因
脆弱性とは、情報システム、システムセキュリティ手順、内部統制、または脅威の根源に
よって悪用される可能性がある実装の弱点です。
情報システムの脆弱性の大部分は、(意図的または意図的ではないが)適用されていない、 または適用されているがある程度の弱点を保持しているセキュリティ管理策に関連している 可能性がある。 組織の任務/業務機能の進化、運用環境の変化、新しいテクノロジの急増、および新しい脅 威の出現に伴って、時間の経過とともに自然に発生する可能性がある緊急の脆弱性の可能性 を考慮することも重要です。 そのような変化の中では、既存のセキュリティ管理策は不適切になるかもしれず、有効性のために再評価される必要があるかもしれません。
セキュリティ管理策の有効性が時間の経過とともに低下する可能性があるため、ソフトウェアのライフサイクル全体を通じてリスク評 価を維持する必要性、および組織のセキュリティ体制を継続的に状況認識するための継続的な監視プログラムの重要性も高まっています。

脆弱性は情報システム内でのみ識別されるものではありません。より広い意味で情報システムを見ると、脆弱性が組織のガバナンス構造に見いだされる可能性もあります。(例:効果 的なリスク管理戦略および十分なリスク枠組みの欠如、機関内のコミュニケーションの不備、ミッション/事業機能の相対的優先順位に関する矛盾の決定ミッション/事業活動を支援するためのエンタープライズアーキテクチャの開発)。

脆弱性は、外部の関係(例:特定のエネルギー源、サプライチェーン、情報技術、電気通信
事業者への依存)、ミッション/ビジネスプロセス(例:定義が不十分なプロセスまたはリ
スクを意識していないプロセス)、情報セキュリティアーキテクチャ(例えば、組織の情報
システムにおける多様性や回復力の欠如をもたらす不十分なアーキテクチャ上の決定)、お
よび企業にも見られます。

影響
脅威の影響のレベルは、情報の不正開示、不正な情報の改変、不正な情報の破壊、または情報や情報システムの利用可能性の損失の結果として生じると考えられる被害の大きさである。そのような被害は、以下を含むさまざまな組織的および組織以外の関係者にもたらされる可能性があります。
* 官公庁
* ミッションと事業主
* 情報の所有者/管財人
* ミッション/ビジネスオーナー
* 情報システムの所有者
* 組織に依存している公共部門または民間部門の個人/グループ

以下の情報は、明示的に文書化されるべきです。
* 影響判断を行うために使用されたプロセス
* 影響判断に関連する仮定
* 影響情報を入手するための情報源と方法
* 影響の決定に関して達した結論の理論的根拠

組織は、確立された優先順位および価値が、高価値資産の特定および組織の利害関係者への
潜在的な悪影響をどのように導くかを明確に定義することができます。
上述の情報が定義されていない場合、脅威の発生源のターゲットの特定および関連する組織
への影響に関する優先順位および価値は、通常、戦略的計画および方針から導き出すことが
できます。

たとえば、セキュリティ分類レベルは、さまざまな種類の情報を侵害することによる組織へ
の影響を示します。

可能性
発生の可能性は、予想される危害の大きさに関係なく、脅威が悪影響を及ぼす可能性を示し ます。 これは、特定の脅威が特定の脆弱性(または一連の脆弱性)を悪用できる可能性の分析に基 づく加重リスクファクタです。 可能性は、脅威が開始される可能性の推定値と影響の可能性の推定値(すなわち、脅威が悪 影響をもたらす可能性)とを組み合わせたものである。

敵対的な脅威の場合、発生可能性の評価は通常次のものに基づいています。
* 敵対者の意図
* 敵対能力
* 敵対者によるターゲティング

敵対的脅威以外については、発生の可能性は過去の証拠、経験的データ、または他の要因を
使用して推定される。脅威が開始または発生する可能性は、特定の期間(例えば、次の6ヶ
月、来年、または特定のマイルストーンに達するまでの期間)に関して評価されることに留
意する必要がある。

脅威が(特定のまたは暗黙の)時間枠内に開始または発生することがほぼ確実である場合、 リスク評価は脅威の推定頻度を考慮に入れることができます。 脅威が発生する可能性は、組織の状態(たとえば、コアミッション/ビジネスプロセス、エンタープライズアーキテクチャ、情報セキュリティアーキテクチャ、情報システム、およびそれらのシステムが動作する環境など)に基づいて決定することもできます。 許可されていない/望ましくない行動からの保護、損傷の検出と制限、またはミッション/ビ ジネス機能の維持または回復のための素因となる配備されたセキュリティ管理策の存在および有効性も考慮に入れるべきです。

セキュリティリスクのレベルを判断する
発生の可能性の評価と影響の評価を組み合わせて、リスクの全体的な重大度を計算することができます。 リスクマトリックスを完成させる基礎として、特定の評価スコアを使用することができます。
他の場合には、推定値(低、中、高)を使用することができます。
リスクマトリックスのスコアは、数値が特定の基準によって決定される0〜9のスケールに基づくことができます。

たとえば、データのプライバシーについてのリスクの可能性の基準は、次のように評価できます。
0以上3未満(低) プライベートデータはローカルデバイスに保存されず、安全なメディアに保存されると暗号化されます。

3以上6未満(中) 個人データはノートブックコンピュータなどのデバイスに存在する可能性がありますが、暗号化されています。

6以上9以下(高) 個人データがローカルデバイスに存在するかどうかは正確にはわからない。また暗号化は保証できません。

同様に、リスク影響基準も、特定の基準に基づいて以下のように同じ0から9のスケールで評価できます。
0以上3未満(低) 個人データの漏洩は200人未満の人々に影響を与えるでしょう。

3以上6未満(中) 個人データの漏洩は、200人から1,000人の人々に影響を与えます。

6以上9以下(高) 個人データの漏洩は1,000人以上に影響を及ぼします。

テスターが可能性と影響の見積もりをした場合でも、見積もりをリスク項目の最終的な深刻
度の評価に組み合わせることができます。良いビジネス影響情報がある場合は、技術的影響
情報の代わりにそちらを使用する必要があります。ビジネスに関する情報がない場合は、技
術的な影響が次に優れているためそちらを使用します。

以下は、個々のリスクの重大度を判断するために使用できるリスクマトリックスのサンプル
図です。

上記のマトリックス例では、可能性が中程度で、影響が大きい場合、全体的な重大度は高く
なります。
さらに、リスクアセスメントレポートは、リスクが進行中であるかどうかを特定する必要が
あります。

継続的なリスクは、損失が発生する可能性が高いことを示します。
リスクの重大度によって、リスクを軽減することの相対的な重要性が決まります。リスクの
重大度が高ければ高いほど、対応のための要件がより迅速になります。

特定のリスクアセスメントで提供される詳細のレベルは、リスクアセスメントの目的および
後続の可能性および影響の決定をサポートするために必要なインプットの種類と一致してい
ます。

JSTQB AL セキュリティテスターの目次

1 セキュリティテストの基礎