【セキュリティ】情報セキュリティの基本用語:脆弱性・脅威・リスク
§1.はじめに
脆弱性、脅威、リスク
これらの単語を聞いたことはありますか?
聞いたことはあってもなんとなくの理解じゃありませんか?僕は雰囲気で理解してました。
今回はこれら3つの単語がそれぞれ何を意味するのか学習していきます。
§2.脆弱性・脅威・リスクの関係
情報セキュリティのリスク(Risk)は単独で存在するのではなく、
脅威(Threat)が脆弱性(Vulnerability)を悪用することで発生する損害です。
以下のように表されることが多いです。(簡略化していますが…)
このように表されているように、同じ意味の別の単語ではなくきちんと定義されています。
それぞれを説明していきましょう。
§3.脆弱性(Vulnerability)
「脆弱(ぜいじゃく)」は、読んで字のまま「脆く弱い」という意味です。
脆弱性(Vulnerability)とはシステムなどが攻撃や損害を受けやすいことを意味します。要は「弱点」ですね。
前の記事でDADトライアドについて学習したときに使った表をまた使いましょう。
| 脆弱性 | 脅威 | リスク |
|---|---|---|
| パスワードの強度チェック、バリデーションの不備。多要素認証が未設定 | 漏洩 | カード番号や個人情報が流出 |
| 注文情報を変更する際に、本人確認や承認プロセスがない | 改竄 | 商品注文後に配送先を書き換えられ、お金だけ払って商品が来ねえ!と問題に |
| OSやデータベースソフトが最新版にアップデートされていない | 破壊/否認 | データベースが暗号化された結果、業務が停止してしまいサービスが使用不可。 ユーザが別のサービスを使用してしまう |
この表では通販サイトのDADを表しています。
表の脆弱性は「漏洩、改竄、破壊/否認が起こった原因(弱点)」です。
- 攻撃者から見れば:「脆弱性という弱点を見つけたから漏洩、改竄、破壊/否認を起こせた」
- サービスから見れば:「脆弱性という弱点があったから漏洩、改竄、破壊/否認が起きた」
§4.脅威(Threat)
脅威(Threat)とは、原因(脆弱性)を利用して、システムに損害(リスク)を与えようとする存在や事象です。
前回学んだDADトライアド(漏洩・改ざん・破壊/否認)は、この「脅威」の具体的な種類を示しています。
上の表をまた出します。
| 脆弱性 | 脅威 | リスク |
|---|---|---|
| パスワードの強度チェック、バリデーションの不備。多要素認証が未設定 | 漏洩 | カード番号や個人情報が流出 |
| 注文情報を変更する際に、本人確認や承認プロセスがない | 改竄 | 商品注文後に配送先を書き換えられ、お金だけ払って商品が来ねえ!と問題に |
| OSやデータベースソフトが最新版にアップデートされていない | 破壊/否認 | データベースが暗号化された結果、業務が停止してしまいサービスが使用不可。 ユーザが別のサービスを使用してしまう |
表の脅威は「原因(脆弱性)を利用して起こる悪い結果を引き起こそうとする存在や事象」です。
- 攻撃者から見れば:「パスワードの強度チェック、バリデーションの不備。多要素認証が未設定」という脆弱性によって、「漏洩」という事象が起こせる
- サービスから見れば:「注文情報を変更する際に、本人確認や承認プロセスがない」という脆弱性によって、「改竄」という事象が起こる
§5.リスク(Risk)
もう表はいいですかね?
リスク(Risk)とは「脅威が脆弱性を悪用する可能性と、その結果生じるビジネスへの影響(実害)」です。
| 脆弱性 | 脅威 | リスク |
|---|---|---|
| パスワードの強度チェック、バリデーションの不備。多要素認証が未設定 | 漏洩 | カード番号や個人情報が流出 |
| 注文情報を変更する際に、本人確認や承認プロセスがない | 改竄 | 商品注文後に配送先を書き換えられ、お金だけ払って商品が来ねえ!と問題に |
| OSやデータベースソフトが最新版にアップデートされていない | 破壊/否認 | データベースが暗号化された結果、業務が停止してしまいサービスが使用不可。 ユーザが別のサービスを使用してしまう |
表のリスクは「脅威の結果として引き起こされた悪い結果」です
- 攻撃者から見れば:「パスワードの強度チェックの不備」という脆弱性を利用した「漏洩」という脅威によって、カード情報流出というリスクを引き起こせる。
- サービスから見ると:「DBソフトが最新版にアップデートされていない」という脆弱性があったために、「破壊/否認」という脅威に晒され、データベース暗号化・業務停止してしまい、ユーザが離れてしまうリスクを受けてしまう。
§6.おわりに(まとめ)
脆弱性・脅威・リスクについて学習しました。
- 脆弱性(原因・弱点)があるために、
- 攻撃者が脅威(事象)が試み、
- 最終的にリスク(実害)が発生します。
脆弱性・脅威・リスクの早見表を記載しておきます
-
脆弱性・脅威・リスクの関係
| 基本用語 | 英名 | 意味 |
|---|---|---|
| 脆弱性 | Vulnerability | システムやプロセスにある弱点や欠陥 |
| 脅威 | Threat | 損害を与える可能性のある事象や行為(攻撃者の目標、自然災害など) |
| リスク | Risk | 脅威が脆弱性を突いた結果、実害が発生する可能性と、その影響の度合い。 |
Discussion