OWASPRiskRatingMethodology入門

 OWASPRiskRatingMethodology入門

Bfeb94c8ced1ce7b1922dec5cee6226e?s=128

Tadashi SHIROMA

March 31, 2018
Tweet

Transcript

  1. 1 OWASP Risk Rating Methodology 入門 (OWASPリスク格付手法) OWASP Evening Okinawa

    #7 Lightning Talk Tadashi SHIROMA
  2. 2 本発表の目的とゴール  OWASP Risk Rating Methodologyを知る  セキュリティリスクを定量的に評価する意義を理解する 社長!SQLインジェクションとか

    なんとかインジェクションとか マジやばいんで、自動で防げる WAF入れたほうがいいっすよ! 月額たったの数十万円です! 月に数十万円? 導入する価値あるの?根拠は? \ヤバイよ!/ \ヤバイよ!/ \ヤバイよ! / \ヤバイよ! / \ヤバイよ! / \ヤバイよ! / ※定量的=数値で表すこと
  3. 3 リスクレベル(重大さ)と脅威と脆弱性 3.脆弱性 2.脅威 1.守る対象 リスクレベル=守る対象への影響度×脅威の発生確率 出典:Overview of Recommended Practice

    - SAE J3061TM 例:鍵の開いた窓、 壊れやすい窓、 プログラムのバグ、 設計ミス 例:人の命、お金、 個人情報、機密情報 例:泥棒、天災、 悪いハッカー (起こってはいけない /避けたい事象)
  4. 4 情報セキュリティにおけるリスクと脅威と脆弱性  守る対象(保護資産) 個人情報、お金、企業の機密情報など  脅威 悪いハッカー、内部犯行者など(が引き起こす良くない事象→例:情報漏えい)  脆弱性

    脅威に攻撃されうるプログラムの不具合、設計の不備など  リスク 上記の保護資産が損害・影響を受ける可能性のこと …詳しくはISO/IEC27000シリーズを参照 リスクレベル(ヤバさ)を定量的に評価するための方法 ⇒ OWASP Risk Rating Methodology ※厳密には定量ではなく、準定量(semi-quantitative)
  5. 5 セキュリティリスクマネジメントと本発表の関係 高レベル(俯瞰的な) リスクアセスメント 詳細リスクアセスメント 参考:ISO/IEC TR 27005:2011 (ISMS) 汎用的な調査

    • アンチウィルスソフ トは導入されている か、バックアップは 取られているかなど、 標準的なチェックリ ストによる確認 対象のモデル化とリス クの特定 • 守るべき対象の洗い出し • システムのモデル化 リスクアセスメント • 脅威分析 • 脆弱性分析/診断 • 対策/軽減策分析 • リスク分析 リスクへの対応 • 脅威、脆弱性対策や、 リスク軽減策の実施 • 組織内外への情報共有 OWASP Risk Rating Methodologyのターゲット セキュリティリスクマネジメント: 組織や情報システムにどの程度のセキュリティリスクがあるかを分析し、 セキュリティポリシーに沿った状態を管理すること
  6. 6 OWASP Risk Rating Methodology  手順(アプローチ) ステップ1:リスクの特定 ステップ2:発生可能性を見積もるための要素(の評価) ステップ3:影響度を見積もるための要素(の評価)

    ステップ4:リスクの重大度の判断 ステップ5:解決するものを決める ステップ6:リスク評価モデルのカスタマイズ ここから先はOWASP Risk Rating Methodologyのページとその翻訳を参考に紹介します https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology(Japanese) 発生可能性×影響度→リスクの重大度 ステップ2で算定 ステップ3で算定 ステップ4で算定 手順化されている主な内容
  7. 7 リスクの重大度の判定関係図 リスクの重大度 発生可能性 脅威エージェン トの要素 攻撃者のスキル レベル モチベーショ ン・見返り

    攻撃の機会・前 提条件等 攻撃者になりう る集団の規模 脆弱性の要素 発見の容易性 悪用の容易性 認知度 侵入検知 影響度 技術的な影響度 機密性の欠如 完全性の欠如 可用性の欠如 アカウンタビリ ティの欠如 ビジネスへの影 響度 金銭的損害 信用喪失 コンプライアン スの欠如 プライバシー侵 害 各要素を0~9点で評価し、 最終的にリスクの重大度を算定する ※点数が高いほど重大さが大きい
  8. 8 ステップ2:発生可能性を見積もるための要素(脅威エージェントの要素)  攻撃者のスキルレベル: 脅威をもたらす攻撃者のスキルはどの程度か? 技術スキルなし(1) いくつかの技術スキル有(3) 高度なコンピュータユーザ(5) ネットワークとプログラミングスキル有(6) セキュリティ侵入スキル有(9)

     モチベーション・見返り: 攻撃の見返りはどの程度か? 報酬が低いもしくは無い(1) ある程度の報酬がある(4) 報酬が高い(9)  攻撃の機会・前提条件等: 攻撃に必要な条件や機会はどの程度か? フルアクセス権または高価なリソースが必要 (0) 特別なアクセス権またはリソースを必要とす る(4) いくつかのアクセス権またはリソースを必要 とする(7) アクセス権またはリソースが必要ない(9)  攻撃者になりうる集団の規模: 開発者、システム管理者(2) イントラネットユーザ(4) パートナー(5) 認証済みユーザー(6) 匿名インターネットユーザー(9)
  9. 9 ステップ2:発生可能性を見積もるための要素(脆弱性の要素)  脆弱性の公開度 知られていない(1) 隠されている(4) 明白(6) 一般常識(9)  エクスプロイトの実行の検知度

    アプリケーション内で検出している(1) ログを取得し観察している(3) ログの取得はしているが観察していない(8) ログに残らない(9)  攻撃者による脆弱性の見つけやすさ 実質的に不可能(1) 困難(3) 容易(7) 自動化されたツールあり(9)  攻撃者による実行・悪用のしやすさ 理論的に可能(1) 難しい(3) 容易(5) 自動化されたツールあり(9)
  10. 10 ステップ3:影響度を見積もるための要素(技術的な影響度)  機密性の欠如: 開示され得るデータ量とその機密性は、どの程度か?  限られた範囲の重要でないデータ(2)  限られた範囲の重要なデータ(6) 

    広範囲におよぶ重要でないデータ(6)  広範囲におよぶ重要データ(7)  すべてのデータ(9)  完全性の欠如: 破損され得るデータ量と損害は、どの程度か?  限られた範囲でデータがわずかに破損する(1)  限られた範囲でデータが深刻に破損する(3)  広範囲で、データがわずかに破損する(5)  広範囲で、データが深刻に破損する(7)  すべてのデータが完全に破損する(9)  可用性の欠如: どの程度のサービスが提供不能となるか?  限られた範囲で、二次的なサービスが中断(1)  限られた範囲で、主要なサービスが中断(5)  広範囲で、二次的なサービスが中断(5)  広範囲で、主要なサービスが中断(7)  全てのサービスが完全に提供不能(9)  アカウンタビリティの欠如:脅威エージェントの行 動は個人レベルまで追跡可能か?  完全に追跡可能(1)  追跡可能なこともある(7)  完全に匿名(9)
  11. 11 ステップ3:影響度を見積もるための要素(ビジネスへの影響度)  金銭的損害 不正利用によってどれだけの金銭的損害が 生じるか? 脆弱性の修正コスト未満(1) 年間利益へ軽微な影響(3) 年間利益へ重大な影響(7) 破産(9)

     信用喪失 不正利用された結果、ビジネスに害を及ぼ すような信用喪失が生じるか? 最小限の被害(1) 主要顧客の喪失(4) 好意の喪失(5) ブランドの損害(9)  コンプライアンスの欠如 コンプライアンスの欠如によりどの程度問 題が起こるか? マイナーな違反(2) 明確な違反(5) 高い注目を集める違反(7)  プライバシー侵害 どの程度の個人情報が開示され得るか? 一個人(3) 数百人(5) 数千人(7) 数百万人(9)
  12. 12 ステップ4:リスクの重大度の判断  「発生可能性」と「影響度」の各要素の平均値を求め、低中高の3段階に分類する  「発生可能性」と「影響度」の組み合わせからリスクの重大度を算定する ※「影響度」は、ビジネスへの影響度を評価できる場合、ビジネスへの影響度を使用する (技術的な影響よりも、ビジネス遂行の方が優先)

  13. 13 ステップ5:解決するものを決める  リスクの重大度を評価し、優先度をつける →対応すべきリスクの優先度がわかる 弊社で使用しているシステムでは、 SQLインジェクションなどの脆弱性が 1年にX回見つかっています。OWASP Risk Rating

    Methodologyでこのリス クを評価した結果、重大度が「高」 であることがわかりました。 このレベルの被害例として、 B社は数千万円の損害を出しています。 WAFを導入するとこの重大度が 「低」に軽減されます。 日々、脆弱性の対策はしていますが、 このリスクを減らすため、月額XX万 円で導入できるWAFを利用したほう がいいと思われます。 わかった。導入しよう。
  14. 14 参考:リスク評価手法 OWASP Risk Rating Methodology以外にもたくさんのリスクマネジメント、リスクアセスメ ント、リスク評価手法があるため、目的や状況に合わせて採用する 例えば・・・  CVSS:

    Common Vulnerability Scoring System 発覚した脆弱性の深刻度をスコアリングする評価手法 IPAのJVNやMITREのCVEでも採用されている 「共通脆弱性評価システム」の名のとおり、同一の基準で定量的に評価できる  FAIR: Factor Analysis of Information Risk リスクを定量的に評価することを目的としたリスクアセスメント手法 脆弱性=攻撃されたときに損害を与える確率はどれくらいか?といった解釈が特徴的
  15. 15 まとめ  OWASP Risk Rating Methodology = セキュリティリスクの重大度を定量化して評価するための手法 https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology

    https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology(Japanese)  リスクの重大度は、脅威の発生可能性と影響度で判定する 守る対象にどの程度影響があるのか、どれくらいの発生頻度かを判定  リスク評価は意思決定のための判断材料 なんとなく危ないから!ではなく、リスクを定量的に評価して意思決定をする 経営層や顧客への説明資料にも応用できる