脅威モデリングナイト#5 脅威ベース・リスクアセスメント(配布用)

7.7K Views

December 06, 24

スライド概要

2024/12/6の脅威モデリングナイト#5 でお話させていただいた内容です。
<要約>
情報セキュリティ・リスクアセスメントに脅威モデリングの考え方を適用したら、評価結果の再現性向上、評価の分業が可能になりました。
そのテンプレートはXのプロフ上のリンクから無料配布しています。(X: @tanbablack)

脅威モデリングナイト#5: https://threatmodeling.connpass.com/event/331299/

profile-image

SaaS事業会社の情報セキュリティ戦略を発信するセキュリティ・アーキテクトの人

シェア

またはPlayer版

埋め込む »CMSなどでJSが使えない場合

関連スライド

各ページのテキスト
1.

"再現性"を重視した 脅威モデリングベースの セキュリティ・ リスクアセスメント 脅威モデリングナイト #5 in Tokyo 2024/12/06 (Fri) Presented by 黒豆

2.

サマリー リスクアセスメントに脅威モデリングの考え方 を適用した結果、以下の恩恵が得られた。 ➔ 評価結果の再現性向上 これまで言語化されていなかったリスク 判断材料や思考プロセスが明確になり、 評価の再現性が向上した。 ➔ 要求スキルが下がり、分業可能に 評価の思考プロセスをモデル化、数式に 落とし込むことで、評価者に要求される 知見のハードルが下がり、評価の分業も 可能になった。

3.

● スピーカー紹介 アジェンダ ○ 経歴 ○ 脅威モデリングとの関わり ● 脅威ベース・リスクアセスメント ○ …とは? ○ よくあるアセスメントとの違い ○ 恩恵と犠牲 ● まとめ

4.

スピーカー 名前 黒豆 (X: @tanbablack) 役割 情報セキュリティ・マネージャー セキュリティ・アーキテクト SIRT(インシデント・コマンダー) 脅威モデリングとの関わり SIerでプロジェクトマネージャー 転職前の有給消化期間 顧客提案の前段階として、顧客システムをリスク評価 STRIDEなどの脅威モデリングに触れる 自身のノウハウを資料化 脅威ベース・アセスのテンプレ作成 Crypto業界でセキュリティエンジニア HR業界でセキュリティ責任者 年次リスクアセスメントで脅威ベース・ アセスメントを実践。課題を感じる 作成したアセスメントを適用

5.

脅威ベース・ リスクアセスメント …とは? ➔ 脅威モデリングをもとにリスク 評価者の思考を分解・再整理し たリスクアセスメント手順 適用可能な対象は? ➔ コーポレートIT,プロダクト全部 カバーしていない範囲は? ➔ 事務過誤観点のリスク (別途、業務別データフロー図 を作成し評価推奨)

6.

脅威ベース・ リスクアセスメント …とは? ➔ 脅威モデリングをもとにリスク 評価者の思考を分解・再整理し たリスクアセスメント手順 適用可能な対象は? ➔ コーポレートIT,プロダクト全部 考えうる脅威を列挙し… 経路上の構成要素ごとの 侵入/侵害リスクを評価し… カバーしていない範囲は? ➔ 事務過誤観点のリスク (別途、業務別データフロー図 を作成し評価推奨) システム構成図から考えうる 脅威ごとの攻撃シナリオと、 その攻撃経路を抽出し… 攻撃シナリオごと リスクを評価

7.

よくあるリスクアセスメント <リスク計算式> 情報資産ごとの リスク値 = リスク発生時の 脅威の 保管場所の 被害レベル ✕ 発生可能性 ✕ 脆弱性レベル

8.

よくあるリスクアセスメント <リスク計算式> 情報資産ごとの リスク値 = リスク発生時の 脅威の 保管場所の 被害レベル ✕ 発生可能性 ✕ 脆弱性レベル ➔問題点は?

9.

担当者の声 保管場所の脆弱性 は、途中経路上の 他の対策を含んだ 総合評価ですか? 昨年、認証情報の 漏洩を被害レベル 2とした判断根拠 は何でしたっけ? 最終的には◯◯さ んの判断次第です よね? Kさん、東京 Hさん、東京 Oさん、神奈川

10.

問題点 担当者の声 リスク評価者の思考プロセスの 保管場所の脆弱性 は、途中経路上の 他の対策を含んだ 総合評価ですか? 昨年、認証情報の 最終的には◯◯さ 漏洩を被害レベル んの判断次第です よね? 2とした判断根拠 は何でしたっけ? 評価基準は明確だが、どの程度のスコア Kさん、東京 になるかを判断する材料が何でどう評価 したのかは言語化されていない Oさん、神奈川 Hさん、東京 不透明性

11.

問題点 担当者の声 リスク評価者の思考プロセスの じゃあ、どうする? 不透明性 保管場所の脆弱性 は、途中経路上の 他の対策を含んだ 総合評価ですか? 昨年、認証情報の 最終的には◯◯さ 漏洩を被害レベル んの判断次第です よね? 2とした判断根拠 は何でしたっけ? 評価基準は明確だが、どの程度のスコア Kさん、東京 になるかを判断する材料が何でどう評価 したのかは言語化されていない Oさん、神奈川 Hさん、東京

12.

問題点 担当者の声 思考プロセスを 不透明性 モデル化→数式化 リスク評価者の思考プロセスの 保管場所の脆弱性 は、途中経路上の 他の対策を含んだ 総合評価ですか? 昨年、認証情報の 最終的には◯◯さ 漏洩を被害レベル んの判断次第です よね? 2とした判断根拠 は何でしたっけ? 評価基準は明確だが、どの程度のスコア Kさん、東京 になるかを判断する材料が何でどう評価 したのかは言語化されていない Oさん、神奈川 Hさん、東京 曖昧な思考プロセスを明文化し、属人性を排除する。

13.

モデル化 取り扱う対象から目的に照らして不要な側面を捨象して、 その構造や構成要素、対象間の関係や互いに及ぼす作用などを 模式的に表した模型(モデル)を作り、図表や数式などを用い て定義すること。 ⇒ 脅威モデリング(Threat Modeling) IT用語辞典「e-Words」より

14.

思考プロセスのモデル化⇒数式化 <リスク計算式> 情報資産ごとの 保管場所の脆弱性は、途中 経路上の他の対策を含んだ 総合評価ですか? リスク値 = リスク発生時の 脅威の 保管場所の 被害レベル ✕ 発生可能性 ✕ 脆弱性レベル いつもどう 考えている? (自問自答)

15.

思考プロセスのモデル化⇒数式化 <リスク計算式> 情報資産ごとの リスク値 = リスク発生時の 脅威の 保管場所の 被害レベル ✕ 発生可能性 ✕ 脆弱性レベル 情報資産の保管場所へ到達可能な アクセス経路から想定される攻撃 シナリオを洗い出す。 攻撃経路上の各構成要素の対策状 況から侵入可否・攻撃成功可否を 判断。 全攻撃シナリオの判断結果から、 脆弱性を総合判断してる。

16.

思考プロセスのモデル化⇒数式化 <リスク計算式> 情報資産ごとの リスク値 = リスク発生時の 脅威の 保管場所の 被害レベル ✕ 発生可能性 ✕ 脆弱性レベル 情報資産の保管場所へ到達可能な アクセス経路から想定される攻撃 シナリオを洗い出す。 攻撃経路上の各構成要素の対策状 況から侵入可否・攻撃成功可否を 判断。 全攻撃シナリオの判断結果から、 脆弱性を総合判断してる。 数式化

17.

思考プロセスのモデル化⇒数式化 <リスク計算式> 情報資産 攻撃シナリオごとの リスク値 = リスク発生時の 保管場所の 脅威の ( 脆弱性レベル, …) 被害レベル ✕ 発生可能性 ✕ MAX 構成要素 × 脅威別 攻撃経路上で最も脆弱な箇所を基準に 攻撃に対する脆弱性を評価

18.

思考プロセスのモデル化⇒数式化 <リスク計算式> 攻撃シナリオごとの リスク値 = リスク発生時の ( 脆弱性レベル, …) 脅威の 被害レベル ✕ 発生可能性 ✕ MAX 他も数式化 できるか? 構成要素 × 脅威別

19.

思考プロセスのモデル化⇒数式化 <リスク計算式> 攻撃シナリオごとの リスク値 = リスク発生時の 脅威の 何の情報がどんな脅威の 被害にあったかでだいた い決まる。 “どのお客さんの情報が” といった情報の内容にま で左右されない。 換金性の高い情報の方 が狙われやすい…脅威 トレンドでも来る攻撃 は変わる… つまり、何の情報かと 脅威の傾向で判断して いる。 ( 脆弱性レベル, …) 被害レベル ✕ 発生可能性 ✕ MAX 構成要素 × 脅威別

20.

思考プロセスのモデル化⇒数式化 <リスク計算式> 攻撃シナリオごとの リスク値 = リスク発生時の 情報資産 × 脅威別 脅威の 情報資産 × 脅威別 ( 脆弱性レベル, …) 被害レベル ✕ 発生可能性 ✕ MAX 構成要素 × 脅威別

21.

脅威ベース・リスクアセスメントの 具体例

22.

コーポレートIT プロダクション環境 システム構成概要図 情報資産へのアクセス経路の有無、攻撃シナリオを洗い出すために作成

23.

リスク受容基準 恣意的なリスク判断にならないために、どこまで受容するかを事前定義

24.

事業被害レベル 脅威 × 被害対象情報別に事前定義

25.

リスク発生頻度 脅威 × 被害対象情報別に事前定義

26.

対策内容から 脆弱性レベル を決定するの は有識者判断 脆弱性レベル 構成要素 × 脅威別に事前定義

27.

<リスク計算式> 攻撃シナリオごとの リスク値 = 情報資産 × 脅威別 情報資産 × 脅威別 ( 脆弱性レベル, …) 被害レベル ✕ 発生可能性 ✕ MAX 構成要素 × 脅威別 被害レベル、発生可能性は、攻撃対象となる 情報資産×脅威 の組み合せによって決定 経路上で脆弱性 レベルが最高値 の構成要素 ⇒要対策箇所 攻撃シナリオ別リスク ✕ 攻撃シナリオに対する脆弱性は、 攻撃経路上の構成要素の脆弱性レベルの最大値 攻撃シナリオ(侵入/漏洩等の経路)を定義したらリスク値が自動計算される ✕ =

28.

恩恵 犠牲 一連の攻撃リスクを、構成要素ごとのリスク値 の集合に分解して評価するため… 一連の攻撃リスクを、構成要素ごとのリスク値 の集合に分解して評価するため… ➔ 評価者の要求スキルが下がった “攻撃の全体像” と “詳細な対策” の両方を 把握している必要はなくなった。 ➔ 分業が可能になった ”攻撃の全体像” はセキュリティ担当者、 ”各構成要素の対策の評価” はエンジニア というような分担が可能になった。 ➔ 対策の穴を見落とす可能性あり スコア化により、攻撃手法ごとに有効な 対策が取られているか見えづらくなった 結果、低リスク値でも特定の攻撃が成立 する可能性は残る。

29.

サマリー リスクアセスメントに脅威モデリングの考え方 を適用した結果、以下の恩恵が得られた。 資料は無償配布中 ➔ 評価結果の再現性向上 DLはXプロフィールから これまで言語化されていなかったリスク 判断材料や思考プロセスが明確になり、 評価の再現性が向上した。 ➔ 要求スキルが下がり、分業可能に 評価の思考プロセスをモデル化、数式に 落とし込むことで、評価者に要求される 知見のハードルが下がり、評価の分業も 可能になった。 ココからDL

30.

サマリー リスクアセスメントに脅威モデリングの考え方 を適用した結果、以下の恩恵が得られた。 Thank you ! ➔ 評価結果の再現性向上 資料は無償配布中 DLはXプロフィールから これまで言語化されていなかったリスク 判断材料や思考プロセスが明確になり、 評価の再現性が向上した。 ➔ 要求スキルが下がり、分業可能に 評価の思考プロセスをモデル化、数式に 落とし込むことで、評価者に要求される 知見のハードルが下がり、評価の分業も 可能になった。 ココからDL