sbfweb.com-banner
トピックス - 注目テーマ
注目テーマ - セキュリティー測定の考え方
「企業ガバナンス」と「セキュリティー管理」、そしてその定期的記録・データ抽出体制を整える「コンプライアンス整備」は一連の流れを形成する。以下では、その内、セキュリティー管理に絞って、特に、セキュリティー測定の考え方を整理した。
ある特定のソリューション、システムの提案を行う、または自身が検討する際、真っ先に明確にすべきこととして「費用対効果」がある。 ところが、通常この効果が明確に算出できない。 とくに、「セキュリティー」という目に見えない相手への対策はなおさらである。 最新ソフトウェアのダウンロードというレベルならまだいいが、大掛かりな「セキュリティー・トータルソリューション」構築の検討となると、敵の大きさを実感できないと導入に踏み切れない。SI(システム・インテグレイター)業界ではこの相手の「怖さ」を数値的にとらえる。つまり、「セキュリティーリスクの大きさ = アタックされる潜在的脅威度 x 脆弱性(システムのもろさ)x コスト(やられた時のコスト負担額)」。以下、この項目ごとに見ていく。
潜在的脅威とは、敵意あるアタックの潜在的な発生頻度、程度の大きさである。例えば、以下のようなデータがある。米国で、他人のPCに侵入して機密文書など特別に機密情報へ不正にアクセスする攻撃者は、1日当り1,000人のユーザに対し4人。また、1,000台のPCを稼動する組織内でのウィルス攻撃は1日に88件、この他、1つのIPアドレスに対する攻撃発生率は1日平均で7件。この「脅威」の発生率は、立地条件、アタックされる側の業界での位置付け、その時の関連政治姿勢、その他の様々な要素によって変わる。従って、この数値については、自社にどれだけの確率で脅威が発生するかを見極めることが重要である。
脆弱性とは、ある企業や組織が攻撃された時に実際にやられてしまう可能性である。攻撃側からみれば成功確率。個々のマシーンレベルではその可能性はやられるか否か、つまり確率的には0%か100%となり予測や数値化は難しいが、多種多様な脅威にさらされた組織レベルで考えれば発生割合として表示できる。つまり、特定の脆弱性が確認されたマシーンの台数を数値で表す方法である。全てのマシーンが同一のソフト・ハードウエア、データで構成されている場合でも、システム環境によって発生確率も変りうる。ルーターやファイヤーウォールの設置状態、プロキシ(セキュリティーサーバー)の設定、OSの種類、他の実行プロセスとの共存等、あらゆる要素によって、特定の脅威にやられてしまう確率が異なってくる。
ここでのコストとは、やられてしまった場合に発生する修復コストその他のトータル損失である。特定の脅威が脆弱なターゲットに影響を及ぼした場合の被害側の被害総額を指す。被害については多面的に測定されるもので、ハード・ソフトウエアに対する実際の被害に加え、定量化できるIT担当者の修復作業時間や他のリソースについて測定されるものをハードダラーコスト (Hard-dollar costs) と呼ぶ。また、セミハードコスト (Semi-hard costs) には、ダウンタイムにおける業務や取引の一時停止による損失などが該当する。最後のソフトコスト (Soft costs) にはエンドユーザの不効率、広報活動における被害対策、社員や顧客の信用低下、ビジネス機会の遺失などが含まれる。 これらをトータルで見ないと大きく誤算する。
この算出方法で考えると、これら3要素(脅威、脆弱性、コスト)の内ひとつでもゼロであれば、リスクの発生率は必然的に皆無となる。この概念は、新種のウィルスや攻撃行為などについてベンダーや各種メディアが警告するリスクの自社にとってのリスク評価に役立つ。仮に、あるリスクが自社に対して全く脅威をもたらさない、またはそのリスクに対して自社は全く脆弱でない、逆に自社が、あるリスクに脆弱ではあるが問題解決には全く経費がかからない−と判断できれば、自ずとこのリスクが自社に影響を及ぼすものではないということになる。
確かに、3つの要素のどれが確実にゼロであるかを見極めるのは、大抵の場合不可能である。そこで、各要素を細かく評価する必要が出てくる。例えば、自社におけるイントラネット用のウエブサーバが、ある攻撃に対して実際に現状、技術的にやられる可能性が高い(脆弱である)とわかれば、次はその脅威のレベルを把握する。そのためには、インターネットなど他の領域で脅威レベルを評価し、その結果が自社イントラネットへどのように置き換えられるかを判断する必要がある。
一般的に、外部からの潜在的脅威はコントロールしにくく、またはやられてからのコスト負担を抑えるのも容易ではない。従って、脆弱性対策、より堅牢なシステム構築というのが優先的に検討されるケースが多い。部分的な脆弱性対策は、高いコストをかけずとも実現できる場合も多く、一番入りやすく、セキュリティー対策の中心テーマになる。

footer image
Copyright © 2001-2008 SBF All Rights Reserved.