OWASPRiskRatingMethodology入門

1 OWASP Risk Rating Methodology 入門（OWASPリスク格付手法） OWASP Evening Okinawa
#7 Lightning Talk Tadashi SHIROMA

2 本発表の目的とゴール  OWASP Risk Rating Methodologyを知る  セキュリティリスクを定量的に評価する意義を理解する社長！SQLインジェクションとか
なんとかインジェクションとかマジやばいんで、自動で防げる WAF入れたほうがいいっすよ！月額たったの数十万円です！月に数十万円？導入する価値あるの？根拠は？＼ヤバイよ！／＼ヤバイよ！／＼ヤバイよ！／＼ヤバイよ！／＼ヤバイよ！／＼ヤバイよ！／ ※定量的＝数値で表すこと

3 リスクレベル(重大さ)と脅威と脆弱性 3.脆弱性 2.脅威 1.守る対象リスクレベル＝守る対象への影響度×脅威の発生確率出典:Overview of Recommended Practice
- SAE J3061TM 例：鍵の開いた窓、壊れやすい窓、プログラムのバグ、設計ミス例：人の命、お金、個人情報、機密情報例：泥棒、天災、悪いハッカー（起こってはいけない／避けたい事象）

4 情報セキュリティにおけるリスクと脅威と脆弱性  守る対象（保護資産） 個人情報、お金、企業の機密情報など  脅威 悪いハッカー、内部犯行者など（が引き起こす良くない事象→例：情報漏えい）  脆弱性
脅威に攻撃されうるプログラムの不具合、設計の不備など  リスク 上記の保護資産が損害・影響を受ける可能性のこと …詳しくはISO/IEC27000シリーズを参照リスクレベル（ヤバさ）を定量的に評価するための方法 ⇒ OWASP Risk Rating Methodology ※厳密には定量ではなく、準定量(semi-quantitative)

5 セキュリティリスクマネジメントと本発表の関係高レベル（俯瞰的な）リスクアセスメント詳細リスクアセスメント参考：ISO/IEC TR 27005:2011 （ISMS）汎用的な調査
• アンチウィルスソフトは導入されているか、バックアップは取られているかなど、標準的なチェックリストによる確認対象のモデル化とリスクの特定 • 守るべき対象の洗い出し • システムのモデル化リスクアセスメント • 脅威分析 • 脆弱性分析/診断 • 対策/軽減策分析 • リスク分析リスクへの対応 • 脅威、脆弱性対策や、リスク軽減策の実施 • 組織内外への情報共有 OWASP Risk Rating Methodologyのターゲットセキュリティリスクマネジメント：組織や情報システムにどの程度のセキュリティリスクがあるかを分析し、セキュリティポリシーに沿った状態を管理すること

6 OWASP Risk Rating Methodology  手順（アプローチ） ステップ1：リスクの特定 ステップ2：発生可能性を見積もるための要素（の評価） ステップ3：影響度を見積もるための要素（の評価）
ステップ4：リスクの重大度の判断 ステップ5：解決するものを決める ステップ6：リスク評価モデルのカスタマイズここから先はOWASP Risk Rating Methodologyのページとその翻訳を参考に紹介します https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology(Japanese) 発生可能性×影響度→リスクの重大度ステップ2で算定ステップ3で算定ステップ4で算定手順化されている主な内容

7 リスクの重大度の判定関係図リスクの重大度発生可能性脅威エージェントの要素攻撃者のスキルレベルモチベーション・見返り
攻撃の機会・前提条件等攻撃者になりうる集団の規模脆弱性の要素発見の容易性悪用の容易性認知度侵入検知影響度技術的な影響度機密性の欠如完全性の欠如可用性の欠如アカウンタビリティの欠如ビジネスへの影響度金銭的損害信用喪失コンプライアンスの欠如プライバシー侵害各要素を0～9点で評価し、最終的にリスクの重大度を算定する ※点数が高いほど重大さが大きい

8 ステップ2：発生可能性を見積もるための要素(脅威エージェントの要素)  攻撃者のスキルレベル：脅威をもたらす攻撃者のスキルはどの程度か？ 技術スキルなし（1） いくつかの技術スキル有（3） 高度なコンピュータユーザ（5） ネットワークとプログラミングスキル有（6） セキュリティ侵入スキル有（9）
 モチベーション・見返り：攻撃の見返りはどの程度か？ 報酬が低いもしくは無い（1） ある程度の報酬がある（4） 報酬が高い（9）  攻撃の機会・前提条件等：攻撃に必要な条件や機会はどの程度か？ フルアクセス権または高価なリソースが必要（0） 特別なアクセス権またはリソースを必要とする（4） いくつかのアクセス権またはリソースを必要とする（7） アクセス権またはリソースが必要ない（9）  攻撃者になりうる集団の規模： 開発者、システム管理者（2） イントラネットユーザ（4） パートナー（5） 認証済みユーザー（6） 匿名インターネットユーザー（9）

9 ステップ2：発生可能性を見積もるための要素(脆弱性の要素)  脆弱性の公開度 知られていない（1） 隠されている（4） 明白（6） 一般常識（9）  エクスプロイトの実行の検知度
アプリケーション内で検出している（1） ログを取得し観察している（3） ログの取得はしているが観察していない（8） ログに残らない（9）  攻撃者による脆弱性の見つけやすさ 実質的に不可能（1） 困難（3） 容易（7） 自動化されたツールあり（9）  攻撃者による実行・悪用のしやすさ 理論的に可能（1） 難しい（3） 容易（5） 自動化されたツールあり（9）

10 ステップ3：影響度を見積もるための要素(技術的な影響度)  機密性の欠如：開示され得るデータ量とその機密性は、どの程度か？  限られた範囲の重要でないデータ（2）  限られた範囲の重要なデータ（6） 
広範囲におよぶ重要でないデータ(6)  広範囲におよぶ重要データ（7）  すべてのデータ（9）  完全性の欠如：破損され得るデータ量と損害は、どの程度か？  限られた範囲でデータがわずかに破損する（1）  限られた範囲でデータが深刻に破損する（3）  広範囲で、データがわずかに破損する（5）  広範囲で、データが深刻に破損する（7）  すべてのデータが完全に破損する（9）  可用性の欠如：どの程度のサービスが提供不能となるか？  限られた範囲で、二次的なサービスが中断（1）  限られた範囲で、主要なサービスが中断（5）  広範囲で、二次的なサービスが中断（5）  広範囲で、主要なサービスが中断（7）  全てのサービスが完全に提供不能(9)  アカウンタビリティの欠如：脅威エージェントの行動は個人レベルまで追跡可能か？  完全に追跡可能（1）  追跡可能なこともある（7）  完全に匿名（9）

11 ステップ3：影響度を見積もるための要素(ビジネスへの影響度)  金銭的損害不正利用によってどれだけの金銭的損害が生じるか？ 脆弱性の修正コスト未満（1） 年間利益へ軽微な影響（3） 年間利益へ重大な影響（7） 破産（9）
 信用喪失不正利用された結果、ビジネスに害を及ぼすような信用喪失が生じるか？ 最小限の被害（1） 主要顧客の喪失（4） 好意の喪失（5） ブランドの損害（9）  コンプライアンスの欠如コンプライアンスの欠如によりどの程度問題が起こるか？ マイナーな違反（2） 明確な違反（5） 高い注目を集める違反（7）  プライバシー侵害どの程度の個人情報が開示され得るか？ 一個人（3） 数百人（5） 数千人（7） 数百万人（9）

12 ステップ4：リスクの重大度の判断  「発生可能性」と「影響度」の各要素の平均値を求め、低中高の3段階に分類する  「発生可能性」と「影響度」の組み合わせからリスクの重大度を算定する ※「影響度」は、ビジネスへの影響度を評価できる場合、ビジネスへの影響度を使用する（技術的な影響よりも、ビジネス遂行の方が優先）

13 ステップ5：解決するものを決める  リスクの重大度を評価し、優先度をつける →対応すべきリスクの優先度がわかる弊社で使用しているシステムでは、 SQLインジェクションなどの脆弱性が 1年にX回見つかっています。OWASP Risk Rating
Methodologyでこのリスクを評価した結果、重大度が「高」であることがわかりました。このレベルの被害例として、 B社は数千万円の損害を出しています。 WAFを導入するとこの重大度が「低」に軽減されます。日々、脆弱性の対策はしていますが、このリスクを減らすため、月額XX万円で導入できるWAFを利用したほうがいいと思われます。わかった。導入しよう。

14 参考：リスク評価手法 OWASP Risk Rating Methodology以外にもたくさんのリスクマネジメント、リスクアセスメント、リスク評価手法があるため、目的や状況に合わせて採用する例えば・・・  CVSS:
Common Vulnerability Scoring System 発覚した脆弱性の深刻度をスコアリングする評価手法 IPAのJVNやMITREのCVEでも採用されている 「共通脆弱性評価システム」の名のとおり、同一の基準で定量的に評価できる  FAIR: Factor Analysis of Information Risk リスクを定量的に評価することを目的としたリスクアセスメント手法 脆弱性＝攻撃されたときに損害を与える確率はどれくらいか？といった解釈が特徴的

15 まとめ  OWASP Risk Rating Methodology = セキュリティリスクの重大度を定量化して評価するための手法 https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology
https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology(Japanese)  リスクの重大度は、脅威の発生可能性と影響度で判定する 守る対象にどの程度影響があるのか、どれくらいの発生頻度かを判定  リスク評価は意思決定のための判断材料 なんとなく危ないから！ではなく、リスクを定量的に評価して意思決定をする 経営層や顧客への説明資料にも応用できる

OWASPRiskRatingMethodology入門

OWASPRiskRatingMethodology入門

Tadashi SHIROMA

More Decks by Tadashi SHIROMA

Other Decks in Programming

Featured

Transcript

1 OWASP Risk Rating Methodology 入門（OWASPリスク格付手法） OWASP Evening Okinawa

2 本発表の目的とゴール  OWASP Risk Rating Methodologyを知る  セキュリティリスクを定量的に評価する意義を理解する社長！SQLインジェクションとか

3 リスクレベル(重大さ)と脅威と脆弱性 3.脆弱性 2.脅威 1.守る対象リスクレベル＝守る対象への影響度×脅威の発生確率出典:Overview of Recommended Practice

4 情報セキュリティにおけるリスクと脅威と脆弱性  守る対象（保護資産） 個人情報、お金、企業の機密情報など  脅威 悪いハッカー、内部犯行者など（が引き起こす良くない事象→例：情報漏えい）  脆弱性

5 セキュリティリスクマネジメントと本発表の関係高レベル（俯瞰的な）リスクアセスメント詳細リスクアセスメント参考：ISO/IEC TR 27005:2011 （ISMS）汎用的な調査

6 OWASP Risk Rating Methodology  手順（アプローチ） ステップ1：リスクの特定 ステップ2：発生可能性を見積もるための要素（の評価） ステップ3：影響度を見積もるための要素（の評価）

7 リスクの重大度の判定関係図リスクの重大度発生可能性脅威エージェントの要素攻撃者のスキルレベルモチベーション・見返り

9 ステップ2：発生可能性を見積もるための要素(脆弱性の要素)  脆弱性の公開度 知られていない（1） 隠されている（4） 明白（6） 一般常識（9）  エクスプロイトの実行の検知度

10 ステップ3：影響度を見積もるための要素(技術的な影響度)  機密性の欠如：開示され得るデータ量とその機密性は、どの程度か？  限られた範囲の重要でないデータ（2）  限られた範囲の重要なデータ（6） 

14 参考：リスク評価手法 OWASP Risk Rating Methodology以外にもたくさんのリスクマネジメント、リスクアセスメント、リスク評価手法があるため、目的や状況に合わせて採用する例えば・・・  CVSS:

15 まとめ  OWASP Risk Rating Methodology = セキュリティリスクの重大度を定量化して評価するための手法 https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology