NIST Guide for Conducting Risk Assessments Threat example
SecurityRiscAssesmentの一般的な脅威例
自分のシステムのリスクアセスメントするときに、参照もとが欲しかったので、下記Appendix D,E に紹介されているThreatを日本語に翻訳したのでメモとして公開します。
Appendix D-2
下記の情報は、脅威源の分類を日本語で表にまとめたものです。
脅威源の分類
脅威源のタイプ | 説明 | 特徴 |
---|---|---|
敵対的 外部者、内部者、信頼できる内部者、特権内部者 競争相手、供給者、パートナー、顧客 | 個人、グループ、組織、または国家が、組織のサイバーリソース(電子形式の情報、情報通信技術、およびそれらの技術によって提供される通信および情報処理能力)に依存することを悪用しようとする。 | 能力、意図、標的化 |
偶発的 個々のユーザーや特権ユーザー | 個々のユーザーや特権ユーザー/管理者が、日常業務を遂行する過程で取る誤った行動。 | 効果の範囲 |
構造的 IT機器、ストレージ、処理、通信、表示、センサー、コントローラー、環境制御、温度/湿度制御、電源、ソフトウェア(オペレーティングシステム、ネットワーキング、汎用アプリケーション、ミッション固有アプリケーション) | 老朽化、リソースの枯渇、または期待される運用パラメータを超えるその他の状況による機器、環境制御、またはソフトウェアの失敗。 | 効果の範囲 |
環境的 自然災害または人災、火災、洪水/津波、風暴/竜巻、ハリケーン、地震、爆発、制圧、異常な自然現象(例: 太陽フレア)、インフラの故障/停止(通信、電力 | 組織が依存しているが組織の制御を超える重要なインフラの自然災害や失敗。自然災害および人災は、その重大さおよび/または持続時間の観点からも特徴づけられるが、脅威源と脅威イベントが強く特定されているため、重大さと持続時間は脅威イベントの説明に含まれることがある。 | 効果の範囲 |
この表は、組織にとって潜在的なセキュリティ上のリスクをもたらす様々な脅威源を分類し、それぞれの脅威源が有する特性や組織に与える影響の範囲を示しています。敵対的脅威は攻撃者による意図的なものであり、偶発的脅威はユーザーの誤操作などによるものです。構造的脅威は技術的な故障や機器の老朽化に関連しており、環境的脅威は自然災害やインフラの故障など、組織の外部からの影響によるものです。これらの脅威源を認識し、適切なリスク管理と対策を講じることが重要です。
Appendix E-2
脅威
下記の表は、「敵対的脅威イベントの代表例」に関する情報を日本語でまとめたものです。脅威イベントは、TTPs(戦術、技術、手順)によって特徴づけられています。
脅威イベントのカテゴリー | 脅威イベントの説明 |
---|---|
偵察と情報収集 | - 組織の周辺ネットワークの偵察/スキャンを実行する。商用または無料のソフトウェアを使用して、情報技術インフラに関するより良い理解を得る。 |
- 露出したネットワークのネットワークスニッフィングを実行する。有線または無線のデータチャネルにアクセスして、コンポーネント、リソース、保護策を特定する。 | |
- 組織情報のオープンソース発見を使用して情報を収集する。攻撃をサポートするために後に使用できる組織の情報システム、ビジネスプロセス、ユーザーや人員、外部関係に関する公開情報を収集する。 | |
攻撃ツールの作成 | - フィッシング攻撃を作成する。正当/信頼できるソースからの通信を偽造して、ユーザーネーム、パスワード、またはSSNなどの機密情報を取得する。 |
- スピアフィッシング攻撃を作成する。高価値のターゲット(例:上級リーダー/エグゼクティブ)を対象としたフィッシング攻撃を行う。 | |
悪意のある機能の配信/挿入/インストール | - 組織内部の情報システムに既知のマルウェアを配信する(例:メール経由のウイルス)。一般的な配信メカニズムを使用して組織情報システムに既知のマルウェアをインストール/挿入する。 |
- 組織の情報システムに特化したマルウェアを配信して内部システムの制御とデータの持ち出しを実行する。組織の情報システムを特定し、機密情報を特定し、情報を攻撃者に持ち出し、これらの行動を隠蔽するように特別に設計されたマルウェアをインストールする。 | |
- リムーバブルメディアによるマルウェアの配信。組織の物理的な境界の外部にある場所にマルウェアを含むリムーバブルメディア(例:フラッシュドライブ)を配置し、従業員がそのメディアを組織情報システムで使用する可能性がある。 | |
ソフトウェアおよび/または商用情報技術製品への無差別マルウェアの挿入 | - ダウンロード可能なソフトウェアおよび/または商用情報技術製品に無差別にマルウェアを挿入する。フリーウェア、シェアウェア、または商用情報技術製品にマルウェアを汚染または挿入する。特定の組織を標的にしているわけではなく、組織内部の情報システムへの侵入ポイントを探している。特にモバイルアプリケーションに関しては注意が必要。 |
組織の情報システムおよび情報システムコンポーネントへの標的マルウェアの挿入 | - 組織の情報システムおよび情報システムコンポーネントに標的を絞ったマルウェアを挿入する。組織によって使用されるハードウェア、ソフトウェア、ファームウェアを標的とする、偵察に基づいて得られた知識を利用して開発されたマルウェア。 |
システム構成に基づく特殊マルウェアの挿入 | - 組織の情報システムに、システム構成に基づいて特化した、検出不可能なマルウェアを挿入する。偵察および組織情報システム内の配置に基づいて、重要な情報システムコンポーネントを標的とする。 |
サプライチェーンへの偽造または改ざんされたハードウェアの挿入 | - 正規のサプライヤーからハードウェアを傍受し、ハードウェアを改ざんまたはそれに代わる故障したハードウェアを挿入する。 |
組織システムへの改ざんされた重要コンポーネントの挿入 | - サプライチェーン、内部の裏切り者、またはその組み合わせを通じて、重要な情報システムコンポーネントを改ざんされたまたは汚染されたコンポーネントに置き換える。 |
組織が管理する情報システムまたはネットワークに汎用スニッファをインストールする | - 組織内部の情報システムまたはネットワークにスニッフィングソフトウェアをインストールする。 |
組織情報システムおよびネットワークに持続的かつ標的を絞ったスニッファをインストールする | - 組織内部の情報システムまたはネットワークに、連続して(長期間にわたって)ネットワークトラフィックを収集(スニッフィング)するためのソフトウェアを配置する。 |
施設内に悪意のあるスキャンデバイス(例: ワイヤレススニッファ)を挿入する | - 郵便サービスまたはその他の商用配送サービスを使用して、組織のメールルームに到達するデバイスを配送し、メールルームからアクセス可能なワイヤレス通信をスキャンし、その情報を攻撃者に無線で送信する。 |
組織に潜入させた個人を挿入する | - 組織内に、組織のミッション/ビジネス機能に害を与える行動を実行する意志と能力を持つ個人を配置する。 |
組織内の特権的な位置に潜入させた個人を挿入する | - 特権的な機能をターゲットにし、機密情報(例:ユーザーアカウント、システムファイルなど)へのアクセスを得るため、組織内の特権的な位置に、組織のミッション/ビジネス機能に害を与える行動を実行する意志と能力を持つ個人を配置する。 |
権限のあるスタッフの物理アクセスを利用する | - 認証された個人がセキュア/制御された場所に入るのに付いて行き("テールゲート")、物理的セキュリティチェックを回避して施設へのアクセスを得る目的で実行される。 |
インターネットに露出している不適切に設定されたまたは無許可の情報システムを悪用する | - インターネット接続が許可されていないか、組織の構成要件を満たしていない情報システムにインターネットを介してアクセスし、その情報システムを悪用する。 |
スプリットトンネリングを悪用する | - 組織の情報システムやネットワークに安全に接続されていると同時に、非セキュアなリモート接続にも接続されている外部の組織または個人の情報システム(例:リモートロケーションのラップトップコンピュータ)を悪用する。 |
クラウド環境のマルチテナンシーを悪用する | - 組織が使用するクラウド環境で実行されているプロセスを持つ攻撃者が、マルチテナンシーを利用して組織のプロセスの振る舞いを観察し、組織の情報を取得するか、組織のプロセスのタイムリーなまたは正しい機能を妨害する。 |
モバイルシステムの既知の脆弱性を悪用する | - 組織の物理的保護や企業のファイアウォールの論理的保護の外にある携帯情報システム(例:ラップトップ、PDA、スマートフォン)の既知の脆弱性を利用して、それらのシステムから情報を収集するためにシステムを侵害する。 |
最近発見された脆弱性を悪用する | - 組織の情報システムの最近発見された脆弱性を悪用し、緩和策が利用可能になるか実装される前にシステムを侵害しようとする。 |
組織内情報システムの脆弱性の悪用 | 組織内の情報システムで既知の脆弱性を探し、それらを悪用する。 |
ゼロデイ攻撃を使用した脆弱性の悪用 | まだ公開されていない脆弱性を悪用する攻撃を行う。ゼロデイ攻撃は、組織が使用する情報システムやアプリケーション、および組織の偵察に対する攻撃者の洞察に基づいている。 |
組織のミッション/ビジネス運営のテンポに合わせた情報システムの脆弱性の悪用 | 組織がミッション/ビジネス運営を行うための時間と方法に一致して攻撃を開始する。 |
マルチテナント環境における不安全または不完全なデータ削除の悪用 | 不安全または不完全なデータ削除により、マルチテナント環境(例:クラウドコンピューティング環境)で不正に情報を取得する。 |
マルチテナント環境における隔離の違反 | マルチテナント環境(例:クラウドコンピューティング環境)における隔離メカニズムを回避または打ち破り、ホストされているサービスや情報/データを観察、汚染、またはサービス拒否する。 |
物理アクセスによる重要な情報システムの侵害 | 組織の情報システムへの物理アクセスを取得し、変更を加える。 |
外部で使用され再導入された情報システムまたはデバイスの侵害 | 情報システムまたはデバイスが組織の外部にある間にマルウェアをインストールし、後に再接続された際に組織に感染させることを目的とする。 |
組織の重要な情報システムのソフトウェアの侵害 | 組織の重要な内部情報システムにマルウェアを挿入するか、それらを何らかの方法で汚染する。 |
データ/情報の持ち出しを容易にするための組織情報システムの侵害 | 内部組織情報システムにマルウェアを植え付け、時間をかけて価値のある情報を特定し、その後それを持ち出す。 |
重要なミッション情報の侵害 | ミッションに不可欠な情報の完全性を侵害し、情報を提供される組繗が運用を行う能力を阻害または妨げる。 |
情報システムコンポーネント(ハードウェア、ソフトウェア、ファームウェア)の設計、製造、配布の侵害 | 選ばれたサプライヤーで重要な情報システムコンポーネントの設計、製造、または配布を侵害する。 |
攻撃の実施(つまり、攻撃ツールまたは活動の直接/調整) | 通信の傍受攻撃を実施する。暗号化されていない、または弱い暗号化(例:公に知られている欠陥を含む暗号化)を使用する通信を利用し、それらの通信をターゲットにして、送信された情報とチャネルへのアクセスを得る。 |
クラウド環境でのデータスカベンジング攻撃 | クラウド環境で実行された組織のプロセスによって使用され、その後削除されたデータを取得する。 |
ブルートフォースログイン試行/パスワード推測攻撃 | 組織の情報システムにアクセスを試みるために、ランダムまたは体系的なパスワードの推測を行い、パスワードクラッキングユーティリティの支援を受けることがある。 |
非対象型ゼロデイ攻撃の実施 | まだ公開されていない脆弱性を悪用する攻撃を行う。攻撃は、組織の特定の脆弱性に対する攻撃者の洞察に基づかない。 |
外部からのセッションハイジャックの実施 | 既に確立されている合法的な情報システムセッションを組織と外部エンティティ(例:オフサイトから接続しているユーザー)の間で乗っ取る(ハイジャック)。 |
内部からのセッションハイジャックの実施 | 組織内のエンティティを配置し、組織の情報システムまたはネットワークへのアクセスを取得し、既に確立されている合法的なセッション(組織と外部エンティティの間または内部ネットワーク内の2つの場所の間)を乗っ取る(ハイジャック)ことを目的とする。 |
外部からのネットワークトラフィック変更(中間者)攻撃の実施 | 組織外のシステムで運用する攻撃者が、組織と外部システムの間のセッションを傍受/盗聴する。攻撃者は、組織と外部システムの間でメッセージを中継し、両者が直接プライベート接続上で通信していると信じさせるが、実際には全ての通信が攻撃者によって制御されている。 |
内部からのネットワークトラフィック変更(中間者)攻撃の実施 | 組織のインフラ内で運用する攻撃者が、データセッションを傍受し、データを汚染する。 |
外部に配置されたソーシャルエンジニアリングを通じた情報の取得 | 外部に配置された攻撃者が、組織内の個人に対して(例:電子メール、電話を使用して)説得やだます行動を取り、重要/機密情報(例:個人識別情報)を明かさせる目的で行動する。 |
内部に配置されたソーシャルエンジニアリングを通じた情報の取得 | 組織内に配置された攻撃者が、(例:電子メール、電話を使用して)組織内の個人に対して行動し、重要/機密情報(例:ミッション情報)を明かさせる。 |
重要な従業員の個人デバイスを狙った攻撃の実施 | 組織の重要な従業員をターゲットにし、彼らの個人所有の情報システムやデバイス(例:ラップトップ/ノートブックコンピュータ、PDA、スマートフォン)にマルウェアを配置する。従業員が個人情報システムやデバイスを使用して重要/機密情報を取り扱う際の利点を利用することを意図している。 |
サプライチェーン攻撃を通じて重要なハードウェア、ソフトウェア、ファームウェアを狙った攻撃の実施 | 組織の運用に不可欠なソフトウェア(例:マルウェア注入を通じて)、ファームウェア、およびハードウェアの運用をターゲットにし、侵害する。これは主に、市販の既製品およびカスタム情報システムおよびコンポーネントに対するサプライチェーン攻撃として実行される。 |
外部ネットワークのネットワークスニッフィングを通じた機密情報の取得 | 露出した有線または無線のデータチャネルを使用して情報を伝達する組織(または組織の人員)にアクセスし、通信を傍受する。 |
データの持ち出しを通じた機密情報の取得 | 組織のシステム上のマルウェアを指示して、機密情報を探し出し、こっそりと送信する。 |
攻撃者が選択したサービスまたは機能の劣化または拒否の引き起こし | 組織のシステム上のマルウェアを指示して、組織のミッション/ビジネス機能の正確でタイムリーなサポートを損なう。 |
重要な情報システムコンポーネントと機能の破壊または損傷の引き起こし | 重要な情報システムコンポーネントを破壊するか、または損傷させて、組織がミッションまたはビジネス機能を遂行する能力を妨げるか、排除する。この行為の検出は問題ではない。 |
公開情報システム上のデータの作成、削除、または変更による完全性の喪失 | 組織のウェブサイトやウェブサイト上のデータに対して、無許可で変更を加えたり、破壊活動を行ったりする。 |
重要データの汚染または汚損による完全性の喪失 | 重要データに汚染された不正確なデータを挿入し、組織のデータ/サービスに対する信頼の喪失や最適でない行動の引き起こしを行う。 |
誤ったが信じられるデータの注入による完全性の損失 | 組織の情報システムに誤ったが信じられるデータを注入し、組織のデータ/サービスに対する信頼の喪失や最適でない行動を引き起こす。 |
権限のあるユーザーによる重要/機密情報の開示 | 攻撃者が権限のあるユーザーを誘導(例: ソーシャルエンジニアリングを通じて)し、重要/機密情報を不注意にも露呈、開示、または誤って取り扱うようにする。 |
許可されていない開示および/または情報の流出による不利益 | 攻撃者が組織の情報システム(デバイスやネットワークを含む)を汚染し、承認されていない分類/機密度の情報を扱うようにする。情報は承認されていない個人に露呈し、流出が調査および緩和される間、情報システムやデバイス、ネットワークは使用不可になる。 |
外部からの無線ネットワークトラフィックの傍受による情報取得 | 組織の通信を無線ネットワーク経由で傍受する。例えば、公共の無線アクセスポイントやホテルのネットワーク接続の標的とする、または家庭や組織の無線ルーターをドライブバイで乗っ取る。 |
許可されていないアクセスの取得 | 権限のあるアクセスを持つ攻撃者が組織の情報システムへのアクセスを得て、許可されたアクセスを超えるリソースにアクセスする。 |
多段階攻撃のキャンペーンの調整 | 攻撃者が一つの侵害された情報システムから別の情報システムへ悪意のあるコマンドや行動の発信元を移動させ、分析を困難にする。内部および外部の攻撃を組み合わせ、複数の情報システムや情報技術を横断する。 |
公開情報からの機密データ/情報の取得 | 攻撃者が組織の公開サーバーやウェブページをスキャンまたは探索し、機密情報を見つけ出そうとする。 |
有望な情報システム/コンポーネントの窃取またはスカベンジング | 攻撃者が組織の物理的な境界外で監視されていない情報システムやコンポーネント(例: ノートパソコンやデータストレージメディア)を盗む、または捨てられたコンポーネントを拾う。 |
敵の行動の難読化 | 攻撃者が組織内の侵入検知システムや監査能力の効果を抑制するための行動を取る。 |
詳細な監視に基づくサイバー攻撃の適応 | 攻撃者が監視と組織のセキュリティ対策に応じて行動を適応させる。 |
複数の組織を横断するキャンペーンの調整 | 攻撃者が一つの組織だけをターゲットにする計画に限定せず、必要な情報を取得するために複数の組織を観察する。 |
組織システム間で攻撃を広げるキャンペーンの調整 | 攻撃者が組織システム内での既存のプレゼンスを使用して、組織のインフラストラクチャを含む他の組織システムへの支配範囲を拡大する。 |
継続的、適応的かつ変化するサイバー攻撃のキャンペーンの調整 | 攻撃者が監視と組織のセキュリティ対策に応じて連続的に変化する攻撃を実施する。 |
外部(アウトサイダー)、内部(インサイダー)、およびサプライチェーン(サプライヤー)の攻撃ベクトルを使用したサイバー攻撃の調整 | 攻撃者が組織の運用を妨害する目的で、連続的かつ調整された攻撃を実施し、すべての3つの攻撃ベクトルを潜在的に使用する。 |
これらの脅威イベントは、組織が直面する可能性のある多様なセキュリティリスクを示しています。攻撃者は、組織の情報システムへの物理的アクセス、ソーシャルエンジニアリング、脆弱性の悪用、データの持ち出し、サービスの妨害など、さまざまな手法を使用して目的を達成しようとします。組織は、これらのリスクに対処するために、セキュリティ対策の強化、従業員の教育と訓練、定期的な脆弱性評価とリスクアセスメントの実施など、総合的なセキュリティ戦略を採用する必要があります。
組織のセキュリティチームは、これらの脅威イベントを理解し、適切なセキュリティ対策と事前防御戦略を策定することで、攻撃の影響を最小限に抑え、組織のレジリエンスを向上させることが重要です。また、インシデントレスポンス計画の準備と定期的な更新、緊急事態における迅速な対応能力の確保も、重要なセキュリティマネジメントの一部となります。
非敵対的脅威イベント
脅威イベントのカテゴリー | 脅威イベントの説明 |
---|---|
老朽化した機器による表示不可 | 組織の設備が老朽化により正常に機能しなくなり、表示が読めなくなる。 |
情報の誤った取り扱いによる機密情報の流出 | 権限のあるユーザーが誤ってデバイス、情報システム、またはネットワークに承認されていない分類/機密度の情報を配置または送信する。情報は承認されていない個人にアクセス可能になり、デバイス、システム、またはネットワークは使用不可になる。 |
地震による主要施設の機能停止 | 組織が定義した強度の地震が主要施設に発生し、施設が使用不能になる。 |
火災による主要施設またはバックアップ施設の機能停止 | 主要施設またはバックアップ施設で(敵対的行為によらない)火災が発生し、施設が使用不能になったり、ソフトウェア、設定、データ、ログのバックアップが破壊される。 |
洪水、ハリケーン、風暴/竜巻による施設の機能停止 | 主要施設またはバックアップ施設で洪水、ハリケーン、風暴/竜巻が発生し、施設が使用不能になったり、重要なバックアップが破壊される。 |
リソースの枯渇による処理性能の劣化 | リソースの枯渇により、処理性能が低下する。 |
ソフトウェア製品に脆弱性の導入 | プログラミング言語やソフトウェア開発環境の固有の弱点により、一般的に使用されるソフトウェア製品にエラーや脆弱性が導入される。 |
これらの表は、組織が直面する可能性のある敵対的および非敵対的脅威イベントの範囲と多様性を示しています。敵対的脅威は攻撃者による意図的な行動によるもので、非敵対的脅威は自然災害や技術的故障など、攻撃者の関与しない出来事によるものです。どちらのタイプの脅威も、組織のセキュリティ対策とレジリエンス強化において考慮すべき重要な要素です。
Discussion