CIA/AAR分析

わんくま同盟名古屋勉強会 #42
CIA/AAR分析
2017/09/02(土)
You&I

ジコ、ショウカイ。
• H/N： You&I(読み：ユーアンドアイ)
• SNS： @you_and_i
• 出身：生まれも育ちも名古屋市
• 年齢： 40代
• 本職：商学部出身の職業プログラマ
• 言語： C++, C#他
•所属：プロ生勉強会名古屋支部
名古屋アジャイル勉強会
わんくま同盟名古屋勉強会

AGENDA
1. ソフトウェア開発のセキュリティ対策
2. セキュリティ用語整理
3. CIA/AARの分析手法
4. 分析例
5. 参考情報

1. ソフトウェア開発の
セキュリティ対策
CIA/AAR分析

1.ソフトウェア開発のセキュリティ対策
• 去年もbashの脆弱性とか色々と凄かったで
すが、今年もマルウェアによるサイバー攻
撃のニュースで連日賑わっていますね。
• そもそもサイバー攻撃と一言に言っても攻
撃対象や攻撃手法は様々です。
– メール/SNSからのPCのマルウェア感染
– 公開サーバーへの不正アクセス/DDoS攻撃

1.ソフトウェア開発のセキュリティ対策
• 今やソフトウェア開発を行う上で、サイ
バー攻撃に対する対策は必須となってきて
います。
• このセッションでは、ソフトウェア開発に
おけるセキュリティ対策を行う上で、その
取っかかりとなる分析手法について紹介し
ていきたいと思います。

CIA/AAR分析

• サイバー攻撃
＝クラッキング
• デジタル・フォレンジック
– 電磁的記録の証拠保全に関する技術
• インシデント・レスポンス
– サイバー攻撃による被害を受けた際の対処

• マルウェア
– コンピュータウィルス、ランサムウェア等の
総称
• IDS(Intrusion Detection System)
– 侵入検知システム
• IPS(Intrusion Prevention System)
– 侵入防止システム

• Vulnerability：脆弱性
– 一つ以上の脅威によって付け込まれる可能性のあ
る、資産又は管理策の弱点。
• Threat：脅威
– システム又は組織に損害を与える可能性がある、
望ましくないインシデントの潜在的な原因。
• DoS攻撃：Denial of Service Attack
– サービス拒否攻撃
• DDoS攻撃：Distributed DoS Attack
– 分散サービス拒否攻撃

• 耐タンパー性
– サイバー攻撃に対する耐性力
• サイドチャネル攻撃
– 暗号処理機能の組み込まれた電子機器や半導
体製品が主な攻撃対象で、暗号化・復号時の
処理時間や消費電力の推移、外部に放出する
電磁波、熱、音の変動などを継続的に測定し、
入力値との相関から秘密鍵など重要な情報を
割り出す手法。

• Confidentiality：機密性
– 認可されていない個人、エンティティ又はプ
ロセスに対して、情報を使用させず、また、
開示しない特性。
• Integrity：完全性
– 正確さ及び完全さの特性。
• Availability：可用性
– 認可されたエンティティが要求したときにア
クセス及び使用が可能である特性。

• Accountability：責任追跡性
– あるエンティティの動作が、一意に追跡でき
る特性。
• Authenticity：真正性
– エンティティはそれが主張するとおりのもの
であるという特性。
• Reliability：信頼性
– 意図する行動と結果とが一貫しているという
特性。

• Non-Repudiation：否認防止
– 主張された事象又は処置の発生，及びそれを
引き起こしたエンティティを証明する能力。
• 紹介した用語の幾つかは「JIS Q 27000」に
定義されています。

資産
脆弱性
脆弱性
脆弱性
脅威

CIA/AAR分析

• ここまでソフトウェア開発のセキュリティ
対策のつもりで話をしてきました。
• ですが、セキュリティ対策ってソフトウェ
アだけでどうこうできる物ではないので、
どうしてもインフラ部分も関係します。

• 本題の、セキュリティ対策として脅威分析
をどうやるか？ですが、規格として手順は
あります。
• JIS Q 27001:2014(ISO/IEC 27001:2013)のISMS
(Information Security Management Systems)
に定義されています。

• JIS Q 27001:2014 - 6.1.2 情報セキュリティリスクアセスメント
組織は，次の事項を行う情報セキュリティリスクアセスメントのプロセスを定め，適用し
なければならない。
A) 次を含む情報セキュリティのリスク基準を確立し，維持する。
1. リスク受容基準
2. 情報セキュリティリスクアセスメントを実施するための基準
B) 繰り返し実施した情報セキュリティリスクアセスメントが，一貫性及び妥当性があ
り，かつ，比較可能な結果を生み出すことを確実にする。
C) 次によって情報セキュリティリスクを特定する。
1. ISMSの適用範囲内における情報の機密性，完全性及び可用性の喪失に伴うリスクを特定す
るために，情報セキュリティリスクアセスメントのプロセスを適用する。
2. これらのリスク所有者を特定する。
D) 次によって情報セキュリティリスクを分析する。
1. C) 1.で特定されたリスクが実際に生じた場合に起こり得る結果についてアセスメントを行
う。
2. C) 1. で特定されたリスクの現実的な起こりやすさについてアセスメントを行う。
3. リスクレベルを決定する。
E) 次によって情報セキュリティリスクを評価する。
1. リスク分析の結果と A) で確立したリスク基準とを比較する。
2. リスク対応のために，分析したリスクの優先順位付けを行う。

• 成る程、JIS Q 27001:2014でセキュリティ対
策として何をしなくてはいけないのかは分
かりました。(what)
• では具体的にどうやるのか？については、
各組織で考えるべきことで、 JIS Q 27001:
2014には定義されていません。(how)

• 2008年に失効していますが JIS TR X 0036-3
(ISO/IEC TR 13335)のGMITS(Guidelines for the
management of IT Security)に、参考となる
リスク分析方法があります。
1. ベースラインアプローチ
2. 非形式アプローチ
3. 詳細リスク分析
4. 組み合わせアプローチ

一般に公開されている基準やガイドラインを基に，
組織で確保すべきレベルを決定し，これと現状の乖
離を分析・評価。

• 2008年に失効していますがJIS TR X 0036-3
management of IT Security)に、参考となるリス
ク分析方法があります。
基準やガイドラインを用いるのではなく，リスク・アセ
スメント担当者の知識や経験を基にリスク・アセスメン
トを実施。
分析者の偏見や主観が結果に影響を及ぼす欠点があり。

組織あるいは対象システムに対して，詳細なリス
ク・アセスメントを実施。

management of IT Security)に、参考となるリス
ク分析方法があります。
各リスク・アセスメント手法は，それぞれに特徴があり
ます。一般に分析コストと分析精度はトレードオフの関
係にあります。そこで，情報資産の重要度に応じて適切
なリスク・アセスメント手法を採用し，それらを組み合
わせて全体のリスク・アセスメントを実施する。

• ベースラインアプローチ
– NIST(アメリカ国立標準技術研究所)のSP800シ
リーズが汎用的に利用可能。IPAによる日本
語訳もあります。
https://www.ipa.go.jp/security/publications/nist/
– 自動車業界等、カタログとして利用可能な基
準を作成している業界もあります。

• 詳細リスク分析
– 脅威の抽出手法
• STRIDE
• Attack Tree
• 5W1H法
• 5W法
– リスク評価手法
• ハザード分析手法(FTA, FMEA, HAZOP)
• CVSS(Common Vulnerability Scoring System)

• CVSS
– 情報システムの脆弱性に対するオープンで汎
用的な評価手法であり、ベンダーに依存しな
い共通の評価方法を提供しています。
– CVSSを用いると、脆弱性の深刻度を同一の基
準の下で定量的に比較できるようになります。
– また、ベンダー、セキュリティ専門家、管理
者、ユーザ等の間で、脆弱性に関して共通の
言葉で議論できるようになります。

• CVSS
CVSSでは次の3つの基準で脆弱性を評価します。
1. 基本評価基準(Base Metrics)
脆弱性そのものの特性を評価する基準です。情報システムに求められる3
つのセキュリティ特性『機密性」『完全性」『可用性」に対する影響を、
ネットワークから攻撃可能かどうかといった基準で評価し、CVSS基本値
(Base Score)を算出します。この基準による評価結果は固定していて、時間
の経過や利用環境の異なりによって変化しません。ベンダーや脆弱性を公
表する組織などが、脆弱性の固有の深刻度を表すために評価する基準です。
2. 現状評価基準(Temporal Metrics)
脆弱性の現在の深刻度を評価する基準です。攻撃コードの出現有無や対策
情報が利用可能であるかといった基準で評価し、CVSS現状値(Temporal
Score)を算出します。この基準による評価結果は、脆弱性への対応状況に
応じ、時間が経過すると変化します。ベンダーや脆弱性を公表する組織な
どが、脆弱性の現状を表すために評価する基準です。
3. 環境評価基準(Environmental Metrics)
ユーザの利用環境も含め、最終的な脆弱性の深刻度を評価する基準です。
脆弱性の対処状況を評価し、CVSS環境値(Environmental Score)を算出します。
この基準による評価結果は、脆弱性に対して想定される脅威に応じ、ユー
ザ毎に変化します。ユーザが脆弱性への対応を決めるために評価する基準
です。

• CVSS
– CVSS基本値、CVSS現状値、CVSS環境値の算出
には、IPAからFlashベースの計算ページが公
開されています。
http://jvndb.jvn.jp/cvss/v3/ja.html
– 計算式は簡単なので、リスク評価の際には
Excelシートの数式計算で算出するのがやり
やすいかと思います。

資産
脆弱性
脆弱性
脆弱性
脅威

1
• 資産の洗い出し
2
• 脅威の洗い出し
3
• リスク評価の実施
4
• リスク対策の検討・実施

4. 分析例
CIA/AAR分析

4. 分析例
• スマホゲーのシステムを例にセキュリティ
リスク分析をやってみましょう。
– 資産
• ロードバランサー
• ゲームサーバー
– SSL暗号化鍵
– データベース(個人情報、ユーザーデータ)
• スマートフォン
– セーブデータ
– 脅威分析
• 5W1H法
– リスク評価
• CVSS

4. 分析例
• スマホゲーのシステム
インターネット網

4. 分析例(脅威抽出)
who where what how why
悪意ユーザースマートフォンセーブデータ改ざんするゲーム改造
悪意ユーザーゲームサーバ－ SSL暗号化鍵中間者攻撃盗聴する

4. 分析例(リスク分析)
脅威攻撃
区分
条件の
複雑さ
特権
レベル
利用者
関与
想定
範囲
機
密
性
完
全
性
可
用
性
基
本
値
悪意ユーザーにセーブ
データを改ざんされる
ローカ
ル
低不要不要変更なし ○ ◎ × 6.8
悪意ユーザーに通信内容
を盗聴される
ネット
ワーク
低不要不要変更なし ◎ × × 7.5

4. 分析例
• このような形でリスク分析する事で、現
時点の分析対象のセキュリティ状態が把
握できます。
• 対策の一例を挙げておくと・・・
– インフラ
• レッドチームテスト、ペネトレーションテスト
– インシデント
• CSIRT構築
– プログラム
• Vulsによる脆弱性スキャン、ソースコードの静的
解析、ファジングテスト

5. 参考情報
CIA/AAR分析

5. 参考情報
• IPA つながる世界のセーフティ＆セキュ
リティ設計入門
http://www.ipa.go.jp/sec/reports/20151007.html
• IPA つながる世界の開発指針
http://www.ipa.go.jp/sec/reports/20160511_2.html

CIA/AAR分析

Recommended

Recommended

More Related Content

Similar to CIA/AAR分析

Similar to CIA/AAR分析 (20)

CIA/AAR分析