脅威モデリングとの出会いと実践
6.5K Views
July 11, 24
スライド概要
ウェルスナビ株式会社 技術広報チームの公式アカウントです。
関連スライド
各ページのテキスト
脅威モデリングとの出会いと実践 岡地 紘 脅威モデリングナイト#2 1
⾃⼰紹介 岡地 紘(おかち ひろし) ウェルスナビ株式会社 サイバーセキュリティチーム マネージャー ウェルスナビでは ● 2022年12月にジョイン、コーポレートIT部門のセキュリティ担当 ● 2024年1月にサイバーセキュリティチームが誕生し、現職。 ブログ ● 社内セキュリティレポートの始め方 ● 脅威モデリングを参考に、社内全体のセキュリティリスク可視化を試みた話 ● サイバーセキュリティチーム立ち上げにあたり考えたこと 2 @2024 WealthNavi Inc.
WealthNaviとは ※画面はイメージです。 3 @2024 WealthNavi Inc.
はじめに 脅威モデリングに関して専⾨的な教育を受けた⼈間では、ありません。 ‧ワークショップで初めてちゃんと触れましたが、DFDとかちゃんと書けません。。 実践してみると有⽤だと確信! 今は事業会社で市⺠権を得て定着させたいという気持ち ‧事業会社の⽅は多かれ少なかれ、似たようなことをやっていると思いますが、 属⼈的になりやすく、特に客観性や継続性という⾯で難しさがあると思います。 ‧当社では、脅威モデリングを参考にプロセスを⼯夫することで、特別なスキルの必要性を 限定し、今後も継続可能なリスク管理プロセスの基礎が出来たと感じています。 ‧まだまだ課題も感じている部分もあり、他の⽅との情報交換を通じて、さらに効果のある 仕組みにしていきたいと考えています。 4 @2024 WealthNavi Inc.
アジェンダ 1. きっかけ 2. 出会い 3. 実践 4. さいごに 5 @2024 WealthNavi Inc.
1. きっかけ 2. 出会い 3. 実践 4. さいごに 6 @2024 WealthNavi Inc.
きっかけ サイバーセキュリティチーム⽴ち上げにあたって、ちゃんとリスク認識をしたかった 好ましくない姿 あるべき姿 ● セキュリティに関する全体像が不明瞭 ○ 領域ごとの整理はされている ● 社内全体を理解しやすい形で可視化 ○ 関係者が同じ⽬線合わせが出来る ○ リスクの根拠が分かりやすい ○ 全体を俯瞰したときのリスク認識が ⼀部の有識者しかできない ● 根拠ある施策計画を⽴てられる ● セキュリティ施策の根拠が⼼もとない ○ 機械的にリスク抽出が出来る ○ 優先順位が誰かの主観で決まる 7 @2024 WealthNavi Inc.
1. きっかけ 2. 出会い 3. 実践 4. さいごに 8 @2024 WealthNavi Inc.
当初考えたのは、フレームワークによるアセスメント 検討した候補 ● NIST CSF ● CIS Controls ● CSSA(Cyber Security Self-Assessment) ● Zero Trust Maturity Model 検討して感じた課題 ● アセスメントツールによるアプローチは、全体の可視化という⽬的に対し距離を感じた ○ 観点ごとの点の評価はできるが、関係性を踏まえた全体の、⾯の評価をするには⾜りない ● 評価項⽬が多岐にわたり、リスク評価は運⽤コストが⾼い ○ コストを最適化して⽬的を達成するには⼤幅なカスタマイズも必要になり、 フレームワークを使う意味も薄れてしまう 9 @2024 WealthNavi Inc.
IPAさんのリスク分析ガイドを参考にアプローチを整理 改めて真⾯⽬に⽅法論を検討するなかで、IPAさんのリスク分析ガイド(※1)に出会う。 検討したアセスメントはいずれもベースラインアプローチに近く、詳細リスク分析の中 に、有効なアプローチがありそうだと認識。 リスク分析手法 特徴 長所 短所 ベースラインアプローチ ● 既存の基準に基づき、想定システムに必要な セキュリティレベルを設定し、その達成のため の対策要件を定め、システムの適合性を チェックする。 ● 決められた対策要件をチェックすることにより、作業 の工数は大きくない。 ● 対策基準のチェックはシステムに沿ったリスク 分析ではなく、事業被害の防止には直接つなが らない。 非形式的アプローチ ● 組織や担当者の経験や判断によってリスク分 析を実施する。 ● 既存の基準をもとにしているので、あるレベルの評 価の目安としては利用できる。 ● 経験値を活用するので、属人的ではあるが工数は 小さい。 ● 未実施の対策がある場合、自システムに適した 選択基準が得られない。 ● リスク分析にならず、新たな脅威への対応が難 しい。 ● 属人的で継続的なセキュリティ向上が困難。 詳細リスク分析 - 資産ベース - シナリオベース 組み合わせアプローチ ● システムや事業の「重要度」「脅威」「脆弱性」 を評価し、リスク分析を実施する。 ● 自システムに対する、正確なリスク分析が可能 ● システムの規模や手法によっては、かなりの工 数がかかることがある。 ● 継続的なセキュリティレベルの向上が可能 ● 資産ベースでは保護すべきシステムを、シナ リオベースでは回避したい事業被害について リスク分析するアプローチ。 ● 戦略的なセキュリティ投資の優先順位付けが可能 ● 複数のアプローチを併用し、異なる評価視点 で分析精度を高め、工数増加を避ける。 ● 各手法の長所の取り込みの可能性である。 ● 各手法の短所の改善の可能性がある。 ● どう組み合わせるのか、それぞれのシステムや 事業者によって異なってくるが、その指針は示さ れていない。 参照:制御システムのセキュリティリスク分析ガイド第2版 10 @2024 WealthNavi Inc.
詳細リスク分析からの脅威モデリング 詳細リスク分析の中にさらに複数の⼿法がある。 今回の⽬的からイベントツリー解析に注⽬、脅威モデリングとの出会いに繋がった。 詳細リスク分析の手法 特徴 長所 短所 資産ベース ● 各資産(サーバ、端末、通信機器等)の重要 度、脅威、脆弱性を評価指標とし、リスク分 析を実施する。 ● 各システム資産の一次脅威を網羅的に洗い出せ る。 ● 資産要素間を跨ぐ攻撃の追跡が困難。 ● 事業被害リスクの評価が難しい。 ● 分析工数は資産の数やまとめ方によるが比較的 小さい。 シナリオベース ● 保護すべきシステムに対する事業被害、脅 威、脆弱性を評価指標とし、リスク分析を実 施。 ①攻撃ツリー解析 (ATA: Attack Tree Analysis) ● 被害事象から攻撃事象を追跡する攻撃ツ リー(Attack Tree)を構成し、脆弱性を評価し てリスクを算定する手法。「 NIST SP800-30 Rev. 1」に定義された impact-orientedアプ ローチに相当する。 ● 最終被害を詳細に分解し、要因を網羅的に追跡 可能。 ● システム構成によっては、攻撃ツリーの数が増 え、分析工数が膨大になる。 ● 事業被害を起こすリスクを直接評価できる。 ● 事業被害ごとの攻撃ツリーの重複が見分けにく く、追跡に多大な工数がかかる。 ②イベントツリー解析( ETA: Event Tree Analysis) ● 攻撃者視点で、被害までの攻撃ルートを検 討し、一次攻撃を起点に攻撃ツリーを構成し て解析する手法。攻撃経路は複数で枝分か れする。脆弱性を評価し、リスクを算定する。 「NIST SP800-30 Rev. 1」の thread-orientedアプローチ に相当する。 ● システムへの攻撃経路を網羅し、最終被害に至 る攻撃連鎖を追跡できる。 ● システム構成や攻撃ツリーの作り方次第で、ツ リーの数が増え、分析工数が膨大になる。 ● 事業被害リスクを直接評価可能。 ● サイバー攻撃の被害分析には、攻撃ステップを 追跡するアプローチが適している。 参照:制御システムのセキュリティリスク分析ガイド第2版 11 @2024 WealthNavi Inc.
他社様ブログを読み込んで確かなイメージを持つ ● メルカリの脅威モデリングプロセス(mercariengineering) ● 継続的なセキュリティ対策をするために脅威分析をしました(PLAID Engineer Blog) ● 脅威モデリングのアプローチ⽅法(Amazon Web Servicesブログ) 12 @2024 WealthNavi Inc.
1. きっかけ 2. 出会い 3. 実践 4. さいごに 13 @2024 WealthNavi Inc.
⽅針 こだわりポイント ● 1枚の絵で出来るだけ⾒えるようにしたい ● セキュリティの熟練者じゃなくても、⼀定の評価できるようにしたい 14 @2024 WealthNavi Inc.
取り組みの概要 ● ● 今回は会社全体のセキュリティリスク可視化を⽬的に、以下の流れで実施。 モデルを作成したあとに、モデルに対するリスク評価を挟むことで、脅威分析をする際のヒ ントが⾒えるようにした。 ①モデルを作成 ・抽象的な構成図の作成 <対象> - オフィス環境 - 代表的なシステム - 重要なSaaS <観点> - アクセス経路 - データ - アクター ②リスクスコア 評価 ・トラストレベル評価 ・対策レベル評価 15 ③脅威分析 ・想定される脅威の洗い出し ・洗い出した脅威のリスク分析 @2024 WealthNavi Inc.
モデルに対するリスク評価(トラストレベル評価) ● ● 脅威分析をする際、必ず話題になるのは重要な資産へのアクセス経路について、どのような 制御がされているのか、という点。 これを評価する⽅法として、ゼロトラストおけるトラストアルゴリズムに注⽬しました。 ○ トラストアルゴリズム:リソースへのアクセスを複数の観点でチェックしてアクセス許 可∕拒否を判断するロジックのこと 出典:「ゼロトラストの現状調査と事例分析に関する調査報告書」(金融庁) https://www.fsa.go.jp/common/about/research/20210630/zerotrust.pdf 16 @2024 WealthNavi Inc.
モデルに対するリスク評価(トラストレベル評価) ● 選択式で⼊⼒可能なトラスト評価シートを作成 ○ 特定のリソースへアクセスするための条件を3つの観点で選択 ■ ■ ■ ● ユーザー:どの程度の⼈がアクセス可能か、どのレベルで認証しているか デバイス:デバイスの制限をしているか、デバイスの状態を確認しているか ネットワーク:IPアドレス等の制限はあるか、不⾃然な通信元を制限しているか ○ 対象ごとに、選択肢に応じたトラストスコアを算出 セキュリティ担当者以外でも⼀定のセキュリティリスク評価が可能になるはず ○ 例えば、⾃分の管理するSaaSのリスク評価をしてください、だとハードルが⾼いが、 アカウント発⾏の範囲やアクセス制限の実装⽅法は答えるのは難しくなく、これをベー スに⼀次評価ができるようになる。 17 @2024 WealthNavi Inc.
リスク抽出までのイメージ ● 今回は当社全体のセキュリティリスク可視化を⽬的に、以下の流れで実施しました。 ①システム構成図等から 評価モデル を作成 ②3つの観点でリスク評価 (ト ③モデル上で②に加え経路や 対策を踏まえてリスクを抽出 ラストレベルをスコア化) ✅ユーザー認証レベル ● ● ● ● ● ✅デバイス認証レベル ✅ネットワーク制御レベル 18 リスク名(Trustスコア) - - - - - - -(xxx) - - - - - - -(xxx) - - - - - - -(xxx) - - - - - - -(xxx) @2024 WealthNavi Inc.
抽出したリスクの詳細分析 ● 検出したリスクに対し、有識者で協議の上、最終リスク評価を実施しました。 ● 評価の基準について、⼀般的な脅威モデリングではMicrosoft社のDREADが有名ですが、⽬ 的にあわせて柔軟にカスタマイズすることも推奨されています。 ● 今回の取り組みでは当初の⽅針に従い、よりシンプルにするため下記の3要素での評価を⾏ い、最終的なリスクスコアを算出しました。 ○ 詳細分析の試算式 ■ 影響度 + 発⾔可能性 + 攻撃容易度 = リスクスコア 19 @2024 WealthNavi Inc.
1. きっかけ 2. 出会い 3. 実践 4. さいごに 20 @2024 WealthNavi Inc.
まとめ よかったこと ● ● 優先度の⾼いセキュリティリスクの可視化が出来た ○ 関係者の⽬線合わせがスムーズにできる 今後も展開/応⽤ができるツールになった ○ 今回は広く、浅くリスク評価をしているが、⼀部パラメータを調整することで、 スコープを変えた評価にも適⽤できそう ○ 評価のハードルを下げる仕組みも組み込むことができ、今後も継続できそう 今後考えたいこと ● ● 脅威分析の場⾯は、まだまだセキュリティ的な知⾒が必要。 ○ ここはもはや教育の範疇かもしれませんが、何らかの改善を検討したい。 やればやるほど情報量が増える予感、、うまく分割していくことが今後の課題 ○ 例えば全体版、詳細版などレイヤーを分けたバージョンを作る、等 21 @2024 WealthNavi Inc.
最後に 📣ウェルスナビ サイバーセキュリティチームでは⼀緒に働く仲間を募集しています! 求人ページ:https://hrmos.co/pages/wealthnavi/jobs/1935659763558219830 📣WealthNaviの開発に関する情報を開発者ブログで定期的に発信しています! WeatlhNavi Engineering Blog:https://zenn.dev/p/wn_engineering 22 @2024 WealthNavi Inc.
ご清聴ありがとうございました 23 @2024 WealthNavi Inc.
【重要な注意事項】 ● 本資料は、断定的判断を提供するものではなく、情報を提供することのみを⽬的としており、いか なる種類の商品も勧誘するものではありません。最終的な決定は、お客様⾃⾝で判断するものと し、当社はこれに⼀切関与せず、また、⼀切の責任を負いません。 ● 本資料には将来の出来事に関する予想が含まれている場合がありますが、それらは予想であり、ま た、本資料の内容の正確性、信頼性、完全性、適時性等を⼀切保証するものではありません。本資 料に基づいて被ったいかなる損害についても、当社は⼀切の責任を負いません。また、当社は、新 しい情報や将来の出来事その他の情報について、更新⼜は訂正する義務を負いません。 ● 本資料を利⽤することによりお客様に⽣じた直接的損害、間接的損害、派⽣的損害その他いかなる 損害についても、当社は⼀切の責任を負いません。 商号等:ウェルスナビ株式会社 金融商品取引業者 関東財務局長(金商) 第2884号 加入協会:日本証券業協会 一般社団法人日本投資顧問業協会 24 @2024 WealthNavi Inc.