PR

システムの弱点をどう探すか?

2009年2月12日(木)
佐藤 元彦

弱点2:リスクの分析

 第1回では、システムの5つの弱点として、「資産の特定」「リスクの分析」「リスクの評価・管理策の適用」「管理策の有効性の評価」「リスクの変化への対応」ができていない、ということを説明しました。そして、システム内の「資産の特定」と「リスクの分析」についての注意点を紹介しました。

 今回は、実際にリスクを分析するために、システムの脅威と脆弱(ぜいじゃく)性を明らかにする手法を紹介します。

 なお、本連載の用語の定義を図1-1に示します。つまり「脅威」は「脆弱性」を利用して「資産」に対して損害を与えます。この損害が起こる可能性が、情報セキュリティーの「リスク」です。

 例えば、金庫に入った現金は、もろい鍵や、外れる扉、という脆弱性があったとしても、それを盗もうとする泥棒(脅威)がいなければ、なくなることはありません。同様に、泥棒が金庫から現金をとろうとしても、つけいるすき=脆弱性がなければ、現金を盗むことはできません。このように、資産に対して、脅威と脆弱性がセットになることで、被害が発生します。そしてこの起こるかもしれない被害がリスクとなるわけです。

リスクの分析はベストエフォートで

 リスクがある、という表現はよく使われますが、リスクの分析ほど人を困惑させるプロセスはない、と筆者は考えます。

 すべての事象にはあらゆるリスクがありますし、リスクに対応すると新たなリスクが生まれるなど、リスクが連鎖していくこともあります。このようなリスクの「無限性」にとらわれ、混乱した担当者の方から、恨み言を聞くこともありますが、筆者はリスク分析に対しては、ある程度の割り切りが必要だと感じています。

 その割り切りポイントは3つです。

・リスクは不変ではない(時間経過と共に変化する)
・リスクは人による(判断する人によって変化する)
・リスクを信じることもリスク(絶対真理ではない)

 それぞれの割り切り方については、図1-2にまとめました。

 ビジネスを継続したまま、すべてのリスクを明確にして、適切な施策を必要なだけ適宜実施し、リスクを完全に防ぐのは、どんな専門家であっても不可能です。もっともビジネス自体を停止させれば、セキュリティーリスクはなくなるかもしれませんが、それは大前提を無視した話です。

 つまりリスク分析は、完ぺきを求めるための作業ではなく、意思決定をするためのより良い状態(ベストエフォート)を求めるための作業だという意識が重要です。

 続いて、割り切った脅威の特定の方法から説明していきましょう。

伊藤忠テクノソリューションズ株式会社
ITサービスコンサルティング部。
特定非営利活動法人 日本セキュリティ監査協会(JASA)幹事。ISSA Tokyo Chapter Recording Secretary。公認情報セキュリティ監査人、公認システム監査人、システム監査技術者、情報セキュリティアドミニストレータ。2003年から、情報セキュリティサービスを、公共・民間問わず、さまざまな形式で実施。2006年より現職。現在は、情報セキュリティ監査をメインに、ITリスクに対応するマネジメント・テクニカルサービスを提供している。所属学会(国内):情報ネットワーク法学会、情報処理学会、日本セキュリティ・マネジメント学会(JSSM)。 http://www.ctc-g.co.jp/

Think IT会員サービス無料登録受付中

Think ITでは、より付加価値の高いコンテンツを会員サービスとして提供しています。会員登録を済ませてThink ITのWebサイトにログインすることでさまざまな限定特典を入手できるようになります。

Think IT会員サービスの概要とメリットをチェック

他にもこの記事が読まれています