脆弱性、脅威、リスクの基本

サイバーセキュリティの世界では心配事が尽きません。しかし、あれこれと心配する前に、まずはセキュリティにおける「脆弱性」、「脅威」、「リスク」の基本概念をしっかりと押さえておきましょう。

この記事では、セキュリティにおけるこの3つの概念について深く掘り下げるほか、業界エキスパートによる最新の見解をご紹介します。

脆弱性、脅威、リスクの違い

この3つの用語はよく一緒に使用されますが、サイバーセキュリティにおいては異なる概念を示します。それぞれを1つの領域として考えてみましょう。

• 脆弱性は、組織を脅威にさらす要因の1つです。
• 脅威は、脆弱性を利用した悪質な事象または敵対的な事象を指します。
• リスクは、脅威が発生したときに損失や損害が発生する可能性を指します。

このそれぞれについて詳しく説明します。

(関連記事：Splunkのセキュリティに関するブログ)

脆弱性とは

最初に脆弱性について説明しましょう。脆弱性とは、システム(インフラ、データベース、ソフトウェア)の弱点、欠陥、その他の不備を指します。脆弱性はプロセス、コントロール、実装またはデプロイ方法の中に存在することもあります。

脆弱性にはさまざまな種類がありますが、一般的には次の2つに分けられます。

• 技術的な脆弱性：コードのバグやハードウェアまたはソフトウェアの欠陥がこれに該当します。Positive Technologies社によると、2022年に報告された脆弱性の72%がWebアプリケーションコードの欠陥に関連していました。
• 人的な脆弱性：従業員がフィッシングやスミッシング(SMSフィッシング)などのよくある攻撃に引っかかることです。これらの攻撃の85%がデータの窃取を目的としています。

脆弱性の中には日常的に発生するものもあります。何かをリリースしたらすぐにパッチを公開して、その脆弱性を解消します。「弱点」は、それが検出または認識されていない場合に「問題」になります。弱点を放置すると、攻撃や脅威に対して脆弱になります。例えるなら、玄関の鍵を一晩中開けたままにするようなものです。それ自体は問題ではありませんが、誰かが家に侵入して悪さをする可能性があることが問題です。

脆弱性の影響

脆弱性が増えるほど、脅威が発生する可能性が高まり、リスクが上がります。

それは当たり前のことですが、問題は、規模が大きくなるほど影響も大きくなることです。英国のサーバー/ドメインプロバイダーであるFasthosts社によると、組織によってはサーバーやドメインを数万、場合によっては数百万単位で運用しています。つまり、それだけ脆弱性が生じる可能性があるということです。

IBM社が公開している「2023年データ侵害のコストに関する調査レポート」によると、データ侵害の平均コストは過去最高となる445万ドルに達し、前年比で2.2%増、過去3年間で15%増加していることがわかりました。問題は、攻撃自体が被害を与えるだけでなく、その影響が波及する可能性があることです。たとえばProgress Software社は、2023年に見つかったMOVEit Transferの脆弱性への対応とそこからの回復に今でも取り組んでいます。この脆弱性は、9,400万以上のユーザーに影響を及ぼし、被害総額は150億ドルを超え、現在も増え続けています。

最近話題になった脆弱性には以下のものがあります。

• 2024年、OpenSSHで見つかった重大な脆弱性「regreSSHion」
• 2024年、Trelloプラットフォームでの情報漏洩インシデント
• 2023年、Okta社のサポート管理システムへの不正アクセス
• 2023年、Microsoft社のコンシューマー向け署名キーの悪用

ご興味のある方は、CVEをご覧ください。CVEは、公開された脆弱性やエクスポージャーがまとめられた、セキュリティに関する重要な情報源の1つです。

(関連記事：脆弱性管理のプラクティス(英語))

脅威とは

サイバーセキュリティの世界で最も一般的な「脅威」の定義では、脆弱性を悪用し、システム、データ、人などの機密性、完全性、可用性に影響を与える可能性のある事象を指します。

(機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)は、3つの頭文字を取って「CIA」とも略され、これもサイバーセキュリティの基本概念です)

脅威をさらに他の言葉で定義すると、敵対者または攻撃者が、組織の業務、資産、従業員、顧客に悪影響を及ぼす機会、能力、および意図を持っている状態と言えます。この例としては、マルウェア、ランサムウェア、フィッシング攻撃などが該当します。すでに蔓延しているこれらの脅威は今後も進化し続けるでしょう。

GreyNoise Intelligence社のデータサイエンス担当バイスプレジデントであるBob Rudis氏によると、重要なのは、すべての脅威が同じではないということです。そこで活躍するのが脅威インテリジェンスです。Rudis氏は次のように指摘しています。

「攻撃者に危害を加える意図と能力があっても、機会があるとは限りません」

たとえば、堅固なパッチ管理プログラムやネットワークの強力なセグメント化ポリシーを運用して重要なシステムへの不正アクセスを防止している場合、脆弱性が悪用される可能性は低くなります。しかし現実には、脆弱性が存在する可能性は非常に高いと言えます。そこで次はリスクについて考えてみましょう。

リスクとは

リスクとは、悪質(有害)な事象が発生する可能性と、その被害の潜在的な規模を指します。組織のリスクは、内部要因と外部要因の両方により、時間とともに、場合によっては日単位で変動します。

もう少し技術的に言うと、Open FAIR Body of Knowledgeでは、サイバーリスクを「損失の起こり得る頻度と規模」と定義しています。複雑に聞こえますが、細かく見ていけばわかります。Rudis氏は次のように説明しています。「第1に、抽象的なリスクというものはありません。リスクは、システム、デバイス、ビジネスプロセス、銀行口座、組織の評判、人命など、何か具体的なものが危険にさらされている状態を指します」

そうだとすれば、サイバーセキュリティチームは以下のようにリスクを測定することができます。

1. 敵対者または攻撃者が脆弱性を悪用して特定の損害を引き起こそうとする頻度を見積もります。
2. 既存のシステム、コントロール、プロセスが悪意のある試みにどれだけ耐えられるかを評価します。
3. 敵対者が攻撃に成功した場合に、敵対者が引き起こす可能性のある影響または損害の価値を割り出します。

最初の定義に従えば、リスクは「結果×可能性」の式で表すことができますが、セキュリティチームがプロセスとインテリジェンスを進化させた場合、導入済みのセキュリティ対策も要因として考慮する必要があります。

リスク = 脅威 × 脆弱性

少し単純化していますが、リスクを次のように見ることもできます。

脆弱性 x 脅威 = リスク

それぞれの概念を当てはめると、この式が示すのは、1つの脆弱性に、考えられる脅威(頻度、既存のセキュリティ対策、考えられる価値損失)を掛け合わせることで、関連するリスクを推定できるということです。リスクの緩和とリスク管理に取り組むときは、まず、現在抱えている脆弱性とそれらの脆弱性に対する脅威を理解する必要があります。それは簡単なことではありません。

(関連記事：サイバーセキュリティのリスク管理(英語)、リスク管理フレームワーク(英語))

現実的な考え方

組織としては、データの暗号化などの方法ですべてのデータを保護したいと考えるかもしれません。しかし、そのアプローチは非常にコストがかかるため、本当に保護する必要があるデータのみに対象を絞り込む必要があります。

特定のデータを保護するための方法に何らかの欠陥が見つかった場合は、脆弱性が1つ以上あるというリスクを考えることができます。その脆弱性に気づいて悪用する攻撃者が現れたら、脅威が現実のものとなります。

ここでのリスクは、そのデータを攻撃者に奪われたときに失う価値の大きさということになります。

リスク管理のベストプラクティス

リスクに関する問題の1つは、どれほど高度なシステムでも、すべての脅威を排除したり、データを完璧に保護することはできないということです。そこで重要になるのがリスク管理のベストプラクティスです。特定の脅威が発生する可能性を最小限に抑えるために、適切な担当者が定期的にリスクを見直す作業を日常業務として継続的に行う必要があります。

リスク管理戦略を策定して脅威に先手を打つための第一歩は、リスクを完全に排除することはできないと認めることです。この点を理解したら、次の5つの重要なステップを含むリスク評価プロセスを構築します。

ステップ1. リスクの洗い出し

組織のIT環境とインフラを調査して、業務に影響を与える可能性のある脆弱性を探します。同時に次の作業も行います。

• どのような問題が起きる可能性があるかを特定します。
• 平常時の標準作業の手順を定義します。
• 規制コンプライアンスの義務を遵守しているかを確認します。

(関連記事：ガバナンス、リスク、コンプライアンス(GRC)(英語))

ステップ2. リスクの評価

洗い出したリスクが組織とその業務や目標に及ぼす可能性のある潜在的な影響を評価します。リスクを判断するには、脆弱性が発見、悪用、再現される可能性を中心に、脆弱性が組織に与え得るあらゆる影響を評価する必要があります。

ステップ3. リスクの分析

前のステップの結果に基づいて、リスクを軽減するために取り入れるべき最善の対策やアプローチを定義します。リスクの影響に応じて、次のアプローチを選択できます。

• 受け入れ：リスクを認識したうえで、何もしません。通常、影響が許容範囲内で、リスクを軽減するためのコストが、影響を受けたときの損失を上回る場合に選択します。
• 回避：重大なリスクをもたらす作業や運用を廃止します。特に、リスクがメリットを上回る場合は有力な選択肢です。
• 移転：アウトソーシングまたはサイバー保険の購入により、リスクを第三者に移転します。
• 緩和：セキュリティ対策とコントロールを実装して、リスクの影響を軽減し、発生の可能性を抑制します。

ステップ4. リスクコントロールの設定とレビュー

このステップでは、発生する可能性のあるリスクを管理および緩和するためのコントロールを設定して、リスクを排除または大幅に軽減します。コントロールには、ファイアウォールの設定、パスワード、多要素認証、暗号化などがあります。実際、2023年には、コントロール対策を実施していた組織は、実施していない組織と比べてコストを約176万ドル節約できたことが明らかになっています。

このステップでは、NIST CSFやFAIR Frameworkなどのフレームワークも役立ちます。

ステップ5. リスクの文書化

発生した侵害を定期的に文書化してレビューすれば、経験から学びを得て、リスクの評価とコントロールの改善につなげることができます。

あらゆる脅威に用心する

脆弱性と脅威を無視すると膨大なコストにつながります。そのため、対策は必須です。リスクを完全に排除することはできず、リスク管理は常に見直しが必要な継続的なプロセスであることを念頭に、効果的なリスク管理評価を定義しましょう。

このブログはこちらの英語ブログの翻訳です。