Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OWASPRiskRatingMethodology入門

Tadashi SHIROMA
March 31, 2018
Programming
0
310

 OWASPRiskRatingMethodology入門

Tadashi SHIROMA

March 31, 2018
Tweet

More Decks by Tadashi SHIROMA

See All by Tadashi SHIROMA
OWASP Top 10 – 認証の不備 in OWASP Okinawa 2018.6.8
shiromat
0
390

Other Decks in Programming

See All in Programming
LayerXにおける機械学習を活用した請求書OCR機能に関する取り組み / deim2023-layerx-ai-ocr
yuya4
7
1.3k
ChatGPTで見えてきたクローンデジタルエンジニア構想 ~ポスト・エンジニア戦略~
en2zo
0
180
Androidアプリで安定して動作させ継続的に開発するために設計の原則を利用して開発した話
takahirom
0
650
ゴーファーくんと辿るプログラミング言語の歴史/history-of-programming-languages-with-gopher
iwasiman
13
5.5k
デプロイ今昔物語 〜CGIからサーバーレスまで〜 / The deployment technics
mackee
9
3.7k
Cloudflare の画像最適化機能を紹介してみる
maroon1st
0
540
PHP8によるデザインパターン入門 / Introduction to Design Patterns with PHP8
fendo181
1
230
Microsoft プレゼンター+の紹介
tomokusaba
0
130
\ 祝!/AWS 大阪リージョン 2 周年の歩み
track3jyo
PRO
0
150
日常業務のカイゼンで図る開発チームへの貢献 - YAPC::Kyoto 2023
koluku
3
290
PDF_TDX_2023_Apex__What_s_New_and_What_s_Coming.pdf
fishofprey
3
820
SREは何を目指すのか
paper2
5
1.3k

Featured

See All Featured
JazzCon 2018 Closing Keynote - Leadership for the Reluctant Leader
reverentgeek
176
9.2k
Design by the Numbers
sachag
271
18k
Thoughts on Productivity
jonyablonski
50
2.8k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
270
12k
A Modern Web Designer's Workflow
chriscoyier
689
180k
Automating Front-end Workflow
addyosmani
1351
200k
Keith and Marios Guide to Fast Websites
keithpitt
407
21k
The Web Native Designer (August 2011)
paulrobertlloyd
77
2.3k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
224
50k
The World Runs on Bad Software
bkeepers
PRO
59
5.8k
Web Components: a chance to create the future
zenorocha
304
41k
Optimizing for Happiness
mojombo
366
65k

Transcript

  1. 1
    OWASP Risk Rating Methodology 入門
    (OWASPリスク格付手法)
    OWASP Evening Okinawa #7
    Lightning Talk
    Tadashi SHIROMA

    View Slide

  2. 2
    本発表の目的とゴール
     OWASP Risk Rating Methodologyを知る
     セキュリティリスクを定量的に評価する意義を理解する
    社長!SQLインジェクションとか
    なんとかインジェクションとか
    マジやばいんで、自動で防げる
    WAF入れたほうがいいっすよ!
    月額たったの数十万円です!
    月に数十万円?
    導入する価値あるの?根拠は?
    \ヤバイよ!/
    \ヤバイよ!/ \ヤバイよ! /
    \ヤバイよ! /
    \ヤバイよ! /
    \ヤバイよ! /
    ※定量的=数値で表すこと

    View Slide

  3. 3
    リスクレベル(重大さ)と脅威と脆弱性
    3.脆弱性
    2.脅威
    1.守る対象
    リスクレベル=守る対象への影響度×脅威の発生確率
    出典:Overview of Recommended Practice - SAE J3061TM
    例:鍵の開いた窓、
    壊れやすい窓、
    プログラムのバグ、
    設計ミス
    例:人の命、お金、
    個人情報、機密情報
    例:泥棒、天災、
    悪いハッカー
    (起こってはいけない
    /避けたい事象)

    View Slide

  4. 4
    情報セキュリティにおけるリスクと脅威と脆弱性
     守る対象(保護資産)
    個人情報、お金、企業の機密情報など
     脅威
    悪いハッカー、内部犯行者など(が引き起こす良くない事象→例:情報漏えい)
     脆弱性
    脅威に攻撃されうるプログラムの不具合、設計の不備など
     リスク
    上記の保護資産が損害・影響を受ける可能性のこと
    …詳しくはISO/IEC27000シリーズを参照
    リスクレベル(ヤバさ)を定量的に評価するための方法
    ⇒ OWASP Risk Rating Methodology
    ※厳密には定量ではなく、準定量(semi-quantitative)

    View Slide

  5. 5
    セキュリティリスクマネジメントと本発表の関係
    高レベル(俯瞰的な)
    リスクアセスメント
    詳細リスクアセスメント
    参考:ISO/IEC TR 27005:2011 (ISMS)
    汎用的な調査
    • アンチウィルスソフ
    トは導入されている
    か、バックアップは
    取られているかなど、
    標準的なチェックリ
    ストによる確認
    対象のモデル化とリス
    クの特定
    • 守るべき対象の洗い出し
    • システムのモデル化
    リスクアセスメント
    • 脅威分析
    • 脆弱性分析/診断
    • 対策/軽減策分析
    • リスク分析
    リスクへの対応
    • 脅威、脆弱性対策や、
    リスク軽減策の実施
    • 組織内外への情報共有
    OWASP Risk Rating Methodologyのターゲット
    セキュリティリスクマネジメント:
    組織や情報システムにどの程度のセキュリティリスクがあるかを分析し、
    セキュリティポリシーに沿った状態を管理すること

    View Slide

  6. 6
    OWASP Risk Rating Methodology
     手順(アプローチ)
    ステップ1:リスクの特定
    ステップ2:発生可能性を見積もるための要素(の評価)
    ステップ3:影響度を見積もるための要素(の評価)
    ステップ4:リスクの重大度の判断
    ステップ5:解決するものを決める
    ステップ6:リスク評価モデルのカスタマイズ
    ここから先はOWASP Risk Rating Methodologyのページとその翻訳を参考に紹介します
    https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology
    https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology(Japanese)
    発生可能性×影響度→リスクの重大度
    ステップ2で算定 ステップ3で算定 ステップ4で算定
    手順化されている主な内容

    View Slide

  7. 7
    リスクの重大度の判定関係図
    リスクの重大度
    発生可能性
    脅威エージェン
    トの要素
    攻撃者のスキル
    レベル
    モチベーショ
    ン・見返り
    攻撃の機会・前
    提条件等
    攻撃者になりう
    る集団の規模
    脆弱性の要素
    発見の容易性
    悪用の容易性
    認知度
    侵入検知
    影響度
    技術的な影響度
    機密性の欠如
    完全性の欠如
    可用性の欠如
    アカウンタビリ
    ティの欠如
    ビジネスへの影
    響度
    金銭的損害
    信用喪失
    コンプライアン
    スの欠如
    プライバシー侵

    各要素を0~9点で評価し、
    最終的にリスクの重大度を算定する
    ※点数が高いほど重大さが大きい

    View Slide

  8. 8
    ステップ2:発生可能性を見積もるための要素(脅威エージェントの要素)
     攻撃者のスキルレベル:
    脅威をもたらす攻撃者のスキルはどの程度か?
    技術スキルなし(1)
    いくつかの技術スキル有(3)
    高度なコンピュータユーザ(5)
    ネットワークとプログラミングスキル有(6)
    セキュリティ侵入スキル有(9)
     モチベーション・見返り:
    攻撃の見返りはどの程度か?
    報酬が低いもしくは無い(1)
    ある程度の報酬がある(4)
    報酬が高い(9)
     攻撃の機会・前提条件等:
    攻撃に必要な条件や機会はどの程度か?
    フルアクセス権または高価なリソースが必要
    (0)
    特別なアクセス権またはリソースを必要とす
    る(4)
    いくつかのアクセス権またはリソースを必要
    とする(7)
    アクセス権またはリソースが必要ない(9)
     攻撃者になりうる集団の規模:
    開発者、システム管理者(2)
    イントラネットユーザ(4)
    パートナー(5)
    認証済みユーザー(6)
    匿名インターネットユーザー(9)

    View Slide

  9. 9
    ステップ2:発生可能性を見積もるための要素(脆弱性の要素)
     脆弱性の公開度
    知られていない(1)
    隠されている(4)
    明白(6)
    一般常識(9)
     エクスプロイトの実行の検知度
    アプリケーション内で検出している(1)
    ログを取得し観察している(3)
    ログの取得はしているが観察していない(8)
    ログに残らない(9)
     攻撃者による脆弱性の見つけやすさ
    実質的に不可能(1)
    困難(3)
    容易(7)
    自動化されたツールあり(9)
     攻撃者による実行・悪用のしやすさ
    理論的に可能(1)
    難しい(3)
    容易(5)
    自動化されたツールあり(9)

    View Slide

  10. 10
    ステップ3:影響度を見積もるための要素(技術的な影響度)
     機密性の欠如:
    開示され得るデータ量とその機密性は、どの程度か?
     限られた範囲の重要でないデータ(2)
     限られた範囲の重要なデータ(6)
     広範囲におよぶ重要でないデータ(6)
     広範囲におよぶ重要データ(7)
     すべてのデータ(9)
     完全性の欠如:
    破損され得るデータ量と損害は、どの程度か?
     限られた範囲でデータがわずかに破損する(1)
     限られた範囲でデータが深刻に破損する(3)
     広範囲で、データがわずかに破損する(5)
     広範囲で、データが深刻に破損する(7)
     すべてのデータが完全に破損する(9)
     可用性の欠如:
    どの程度のサービスが提供不能となるか?
     限られた範囲で、二次的なサービスが中断(1)
     限られた範囲で、主要なサービスが中断(5)
     広範囲で、二次的なサービスが中断(5)
     広範囲で、主要なサービスが中断(7)
     全てのサービスが完全に提供不能(9)
     アカウンタビリティの欠如:脅威エージェントの行
    動は個人レベルまで追跡可能か?
     完全に追跡可能(1)
     追跡可能なこともある(7)
     完全に匿名(9)

    View Slide

  11. 11
    ステップ3:影響度を見積もるための要素(ビジネスへの影響度)
     金銭的損害
    不正利用によってどれだけの金銭的損害が
    生じるか?
    脆弱性の修正コスト未満(1)
    年間利益へ軽微な影響(3)
    年間利益へ重大な影響(7)
    破産(9)
     信用喪失
    不正利用された結果、ビジネスに害を及ぼ
    すような信用喪失が生じるか?
    最小限の被害(1)
    主要顧客の喪失(4)
    好意の喪失(5)
    ブランドの損害(9)
     コンプライアンスの欠如
    コンプライアンスの欠如によりどの程度問
    題が起こるか?
    マイナーな違反(2)
    明確な違反(5)
    高い注目を集める違反(7)
     プライバシー侵害
    どの程度の個人情報が開示され得るか?
    一個人(3)
    数百人(5)
    数千人(7)
    数百万人(9)

    View Slide

  12. 12
    ステップ4:リスクの重大度の判断
     「発生可能性」と「影響度」の各要素の平均値を求め、低中高の3段階に分類する
     「発生可能性」と「影響度」の組み合わせからリスクの重大度を算定する
    ※「影響度」は、ビジネスへの影響度を評価できる場合、ビジネスへの影響度を使用する
    (技術的な影響よりも、ビジネス遂行の方が優先)

    View Slide

  13. 13
    ステップ5:解決するものを決める
     リスクの重大度を評価し、優先度をつける
    →対応すべきリスクの優先度がわかる
    弊社で使用しているシステムでは、
    SQLインジェクションなどの脆弱性が
    1年にX回見つかっています。OWASP
    Risk Rating Methodologyでこのリス
    クを評価した結果、重大度が「高」
    であることがわかりました。
    このレベルの被害例として、
    B社は数千万円の損害を出しています。
    WAFを導入するとこの重大度が
    「低」に軽減されます。
    日々、脆弱性の対策はしていますが、
    このリスクを減らすため、月額XX万
    円で導入できるWAFを利用したほう
    がいいと思われます。
    わかった。導入しよう。

    View Slide

  14. 14
    参考:リスク評価手法
    OWASP Risk Rating Methodology以外にもたくさんのリスクマネジメント、リスクアセスメ
    ント、リスク評価手法があるため、目的や状況に合わせて採用する
    例えば・・・
     CVSS: Common Vulnerability Scoring System
    発覚した脆弱性の深刻度をスコアリングする評価手法
    IPAのJVNやMITREのCVEでも採用されている
    「共通脆弱性評価システム」の名のとおり、同一の基準で定量的に評価できる
     FAIR: Factor Analysis of Information Risk
    リスクを定量的に評価することを目的としたリスクアセスメント手法
    脆弱性=攻撃されたときに損害を与える確率はどれくらいか?といった解釈が特徴的

    View Slide

  15. 15
    まとめ
     OWASP Risk Rating Methodology
    = セキュリティリスクの重大度を定量化して評価するための手法
    https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology
    https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology(Japanese)
     リスクの重大度は、脅威の発生可能性と影響度で判定する
    守る対象にどの程度影響があるのか、どれくらいの発生頻度かを判定
     リスク評価は意思決定のための判断材料
    なんとなく危ないから!ではなく、リスクを定量的に評価して意思決定をする
    経営層や顧客への説明資料にも応用できる

    View Slide