「脆弱性」「脅威」「リスク」の再整理

「脆弱性」「脅威」「リスク」の再整理 2024-06-13 脅威モデリングナイト #1 in Tokyo はせがわようすけ

長谷川陽介(はせがわようすけ)  (株)セキュアスカイ・テクノロジー 取締役CTO  セキュリティ・キャンプ協議会代表理事  千葉大学 非常勤講師  OWASP Kansai ボードメンバー  OWASP Japan ボードメンバー  CODE BLUEカンファレンス 実行委員 Internet Explorer、Mozilla FirefoxをはじめWebアプリ ケーションに関する多数の脆弱性を発見。 Black Hat Japan 2008、韓国POC 2008、2010、 OWASP AppSec APAC 2014他講演や記事執筆も多数。 https://utf-8.jp/ 脅威モデリングナイト #1 in Tokyo #脅威モデリング

• https://utf-8.jp/

「リスク」「脅威」「脆弱性」とは？

「リスク」「脅威」「脆弱性」とは？ - 定義  JIS Q27000:2019 リスク 目的に対する不確かさの影響。 注記4 リスクは、ある”事象”（その周辺状況の変化を含む。）の結果とその発生の”起 こりやすさ”との組合せとして表現されることが多い。 脅威 システムまたは組織に損害を与える可能性がある、望ましくないインシデントの潜在的 な原因。 脆弱性 一つ以上の脅威によって付け込まれる可能性のある、資産または管理策の弱点。 ※ JIS Q27000:2019 3.61項、3.74項および3.77項より 脅威モデリングナイト #1 in Tokyo #脅威モデリング

「リスク」「脅威」「脆弱性」とは？ - もうちょいわかりやすく それが生じた時 それが生じなかった時 あるいは どう生じたか で、結果が異なる 「情報・サイバーセキュリティの基本と動向」PwC丸山さん資料より https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_s eido/wg_uchu_sangyo/pdf/007_04_02.pdf 脅威モデリングナイト #1 in Tokyo #脅威モデリング

• https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_s

実際には曖昧に使われている - 例「脆弱性」という語  文脈によって具体的に指し示す対象や範囲が変わる 脆弱性の対応は ちゃんと できるのか？ 重要な脆弱性は すでに対応を 終わらせました！ えらい人 脅威モデリングナイト #1 in Tokyo エンジニア #脅威モデリング

実際には曖昧に使われている - 例「脆弱性」という語  文脈によって具体的に指し示す対象や範囲が変わる OSやミドルウェアの 次々発見される 脆弱性への管理体制は きちんと整っている のかな？ 脆弱性の対応は ちゃんと できるのか？ 重要な脆弱性は すでに対応を 終わらせました！ えらい人 脅威モデリングナイト #1 in Tokyo 診断で指摘された 脆弱性のうち 深刻なものはアプリの ソースコードを 修正しました！ エンジニア #脅威モデリング

実際には曖昧に使われている - 例「脆弱性」という語  文脈によって具体的に指し示す対象や範囲が変わる OSやミドルウェアの 次々発見される 脆弱性への管理体制は きちんと整っている のかな？ 脆弱性の対応は ちゃんと できるのか？ 診断で指摘された 脆弱性のうち 深刻なものはアプリの ソースコードを 修正しました！ 重要な脆弱性は すでに対応を 終わらせました！ CWEの話 CVEの話 えらい人 脅威モデリングナイト #1 in Tokyo エンジニア #脅威モデリング

実際には曖昧に使われている - 例「脆弱性」という語  文脈によって具体的に指し示す対象や範囲が変わる ① 「継続的な脆弱性の管理」みたいな文脈の場合：  ミドルウェア等で発見される脆弱性(CVE)に対してパッチ適用を適切に 行うという意味 ② 「XSSという脆弱性の対策方法」みたいな文脈の場合：  ソフトウェア開発において作りこまれてしまう脆弱性(CWE)を防ぐとい う意味 ③ 「自社システムに脆弱性が見つかりました」みたいな文脈の場 合：  ①②に加え、システムの設定不備や仕様上の問題なども含まれる 脅威モデリングナイト #1 in Tokyo #脅威モデリング

同じく「脅威」や「リスク」などの言葉も曖昧  「リスク」と「脅威」が同義で使われることや、「脅威」を「発生する被 害」などと同義に使われることも多い IPA「安全なウェブサイトの作り方」 1.1 SQLインジェクション https://www.ipa.go.jp/security/vuln/websecurity/about.html 「発生しうる脅威」 脆弱性が作りこまれ、それにより発生するであろう被害、 つまり結果を「脅威」と表現している 脅威 JIS Q27000:2019 システムまたは組織に損害を与える可 能性がある、望ましくないインシデント の潜在的な原因。 脅威モデリングナイト #1 in Tokyo #脅威モデリング

• https://www.ipa.go.jp/security/vuln/websecurity/about.html

「リスク」「脅威」「脆弱性」のような用語は文脈に注意する  さまざまな意味で使われているため、自分の想定している意味と 違う使われ方、理解のされ方をすることもあり得る  相手のコンテキスト/文脈/意図を踏まえて理解しなければ誤解を招く可 能性がある  相手がどういう文脈でその語を使ったのか、相手がどのような文脈でそ の語を受け止めるのか意識する  定義に強くこだわりすぎない  日常でも使われる言葉なので、人によって多様な使われ方をするのは当 たり前  規格等での定義にこだわりすぎて相手とのコミュニケーションを拒絶して しまっては本末転倒 脅威モデリングナイト #1 in Tokyo #脅威モデリング

さくっと 脅威分析おさらい

脅威分析おさらい  脅威分析とは  実際に被害が発生する前にシステムに影響を与える脅威や弱点となる脆 弱性、守るべき資産を整理しリスクを把握する  脅威分析の典型的な流れ ① システムの構成図をもとにデータや処理の流れ、保有資 産を可視化 ② ③ システムに対しての脅威を列挙 DFD STRIDE Attack Library 各要素における脆弱性を検討 ④ ①資産と②脅威、③脆弱性からリスクを検討し対応の 必要性、優先度を決める 脅威モデリングナイト #1 in Tokyo DREAD #脅威モデリング

脅威分析おさらい  脅威分析とは  実際に被害が発生する前にシステムに影響を与える脅威や弱点となる脆 弱性、守るべき資産を整理しリスクを把握する  脅威分析の典型的な流れ ① システムの構成図をもとにデータや処理の流れ、保有資 産を可視化 ② ③ システムに対しての脅威を列挙 DFD STRIDE Attack Library 各要素における脆弱性を検討 リスク評価 ④ ①資産と②脅威、③脆弱性からリスクを検討し対応の 必要性、優先度を決める 脅威モデリングナイト #1 in Tokyo DREAD #脅威モデリング

リスク評価

リスク評価  リスク評価  問題が発生したときの影響度と、問題が発生する可能性から対応の要否 や優先度を決定する  発生したときの影響が大きく、発生する可能性が高い問題点から優先的 な対応を進める ぜんぶの問題点に 対応すれば 解決するのに 脅威モデリングナイト #1 in Tokyo #脅威モデリング

リスク評価の手法例: DREAD  マイクロソフトで使われていたリスク評価の手法  5項目の脅威について1-10の１０段階で点数をつける Damage (損害) 攻撃の結果生じる損害 Reproducibility (再現性) 攻撃が成功する頻度 Exploitability (悪用可能性) 攻撃を実行するための労力、コスト Affected user (影響を受けるユーザー) 攻撃の影響を受ける可能性のあるユーザー数 Discoverability (探索可能性) 脆弱性が発見され悪用される可能性  評価に問題があるためマイクロソフトでは現在使われていない  「再現性」は成功か失敗に二極化する、「探索可能性」「悪用可能性」は攻撃者の能力の推定が 必要、「探索可能性」は「隠すこと」によるセキュリティを推進する等の声がある  現在は「バグバー」を使っているとのことだが、詳細よくわからず https://web.archive.org/web/20160306170025/https://social.msdn.microsoft.com/Forums/en-US/c601e0ca5f38-4a07-8a46-40e4adcbc293/do-you-use-dread-as-it-is?forum=sdlprocess https://learn.microsoft.com/en-us/previous-versions/windows/desktop/cc307404(v=msdn.10) 脅威モデリングナイト #1 in Tokyo #脅威モデリング

• https://learn.microsoft.com/en-us/previous-versions/windows/desktop/cc307404(v=msdn.10)

リスク評価の手法例: OWASP Risk Rating Methodology  OWASPによる組織に合わせてカスタマイズできるリスク評価フ レームワーク  リスク = 発生可能性 × 影響 という標準的なモデルを6ステップで評価 1. リスクの特定 脅威エージェント 2. 発生可能性の見積もり 3. 影響の見積もり 脆弱性 技術的影響 ビジネスへの影響 スキル、動機、機会、規模 発見容易性、悪用の容易性、認知度、侵入検知 機密性、完全性、可用性、アカウンタビリティの欠如 金銭的損失、風評被害、コンプライアンス違反、 プライバシー違反 4. リスクの重要度の判断 5. 修正項目の決定 6. リスク評価モデルのカスタマイズ https://owasp.org/www-community/OWASP_Risk_Rating_Methodology 脅威モデリングナイト #1 in Tokyo #脅威モデリング

• https://owasp.org/www-community/OWASP_Risk_Rating_Methodology

リスク評価の手法例: OWASP Risk Rating Methodology  OWASPによる組織に合わせてカスタマイズできるリスク評価フ レームワーク スコア(1-9)の指標が 脅威エージェント(攻撃者)のスキル 記載されている  リスク = 発生可能性 × 影響 という標準的なモデルを6ステップで評価 や動機、規模を正確に推し量ること 1. リスクの特定 は難易度が高い 脅威エージェント 2. 発生可能性の見積もり 3. 影響の見積もり 4. リスクの重要度の判断 脆弱性 技術的影響 ビジネスへの影響 スキル、動機、機会、規模 発見容易性、悪用の容易性、認知度、侵入検知 機密性、完全性、可用性、アカウンタビリティの欠如 金銭的損失、風評被害、コンプライアンス違反、 プライバシー違反 影響としてビジネスが含まれている 5. 修正項目の決定 6. リスク評価モデルのカスタマイズ https://owasp.org/www-community/OWASP_Risk_Rating_Methodology 脅威モデリングナイト #1 in Tokyo #脅威モデリング

• https://owasp.org/www-community/OWASP_Risk_Rating_Methodology

リスク評価の手法例: OWASP Risk Rating Methodology 発生可能性の見積もり ≫ 脅威エージェント ≫ スキルレベル、動機、機会、規模 【スキルレベル】 この脅威エージェントのグループがどの程度の技 術的スキルを持っているか 1 3 5 6 9 技術的スキルなし ある程度の技術的スキルあり 上級コンピューターユーザー ネットワークおよびプログラミングスキルあり セキュリティ侵入スキルあり 【動機】 この脅威エージェントのグループには、脆弱性を 発見、悪用する動機がどの程度あるか 1 報酬が低いか全くない 4 報酬がある可能性がある 9 報酬が高い 【機会】 このグループの脅威エージェントが脆弱性を発見 して悪用するには、どのようなリソースと機会が 必要か 0 4 7 9 フルアクセスまたは高価なリソースが必要 特別なアクセスまたはリソースが必要 ある程度のアクセスまたはリソースが必要 アクセスまたはリソースは不要 【規模】 この脅威エージェントのグループの大きさはどの くらいか 2 2 4 5 6 9 開発者 システム管理者 イントラネット ユーザー パートナー 認証済みユーザー 匿名インターネット ユーザー https://owasp.org/www-community/OWASP_Risk_Rating_Methodology 脅威モデリングナイト #1 in Tokyo #脅威モデリング

• https://owasp.org/www-community/OWASP_Risk_Rating_Methodology

CVSSをリスク評価に適用できるか  脆弱性の深刻度の評価手法であるCVSSも攻撃を受けたときの影響 と、どれくらい攻撃が成功しやすそうかの２軸で評価するという思想自 体は近い(?)  CVSSv3.1では「CVSSは脆弱性の深刻度の評価であり、リスク評価ではない」 と明記  CVSSの評価手法を「リスク」に適用するにも、「難易度」は「攻撃元区分」「必要な 特権レベル」など。脆弱性の評価に寄っており「可能性」を推定できるものではな い https://www.first.org/cvss/v3.1/user-guide 脅威モデリングナイト #1 in Tokyo #脅威モデリング

• https://www.first.org/cvss/v3.1/user-guide

リスク評価  リスク＝影響×発生可能性 というモデルの具体的な計算のため に様々なリスク評価のフレームワークが存在している  DREADやOWASP Risk Rating Methodology以外にも様々なも のがある  全てを知るよりも、特定の手法を欠点含め知るほうが多分よい  既存のフレームワークに従って評価を行うことで、再現性のある 結果を得ることができる  結果そのものが(人間の判断が入るので)ブレたとしても、評価方法その ものは統一することができる 脅威モデリングナイト #1 in Tokyo #脅威モデリング

まとめ  「リスク」「脅威」「脆弱性」などの言葉は文脈によって意味が異なる ことがある  相手のコンテキスト/文脈/意図を踏まえて理解しなければ誤解を招く可 能性がある  規格等での定義にこだわりすぎて相手とのコミュニケーションを拒絶して しまっては本末転倒  脅威分析におけるリスク評価にも様々な手法がある  DREADは使われていない  OWASP Risk Rating Methodlogyはビジネス視点なども評価軸に ある  CVSSでのリスク評価は推奨されない 脅威モデリングナイト #1 in Tokyo #脅威モデリング

質問・ツッコミ・提案などあればお気軽に @hasegawayosuke @hasegawa.bsky.social 脅威モデリングナイト #1 in Tokyo #脅威モデリング