テクノロジーによるビジネスモデルの変革、すなわちデジタルトランスフォーメーション(DX)の普及に伴い、今までにない新しい製品やサービスが登場してきました。
一方で、パブリッククラウド環境からの情報漏洩やIoT機器に対するマルウェア感染等、新たな領域を攻撃対象とするサイバー攻撃も日々発生しています。
その結果、企業は一昔前と比較し、より多くの対象に対して情報セキュリティリスクを評価し、限られた予算の中で適切に対処する必要性に迫られています。
多くの変数を有する情報セキュリティリスクに対し、優先対処する対象を判断するには、異なるバックグラウンドを持つステークホルダーが、情報セキュリティという専門知識を必要とする領域で、リスク評価・優先度判定に関する共通認識を持つことが極めて重要です。しかしながら、これは簡単なことではありません。
本課題を解決する手段として、サイバー攻撃のリスクを一定の基準に基づき定量的に評価するツールであるCIS RAM(Center for Internet Security® Risk Assessment Method)が策定されました。
本ブログでは、CIS RAMの概要と実践的な使い方をご紹介します。
CIS RAM(Center for Internet Security® Risk Assessment Method)とは、CIS (Center for Internet Security®) とHALOCK Security Labsが 共同開発したセキュリティリスク評価方法で、CIS Controlsのベストプラクティスに対するセキュリティ態勢の実装および評価に役立ちます。
様々なリスク評価方法がありますが、多くは脆弱性の特定や発生する確率の検討に重みを置いています。一方で、CIS RAMは組織ミッション・ステークホルダーとの関係性が事業を存続するために重要であると捉えています。従って、セキュリティのリスク対策を検討するにあたって、限りあるリソースの中で対策を施す価値があるかを組織として客観的に評価するためのガイドラインとなっています。
CIS RAMの位置づけ
解決策の検討プロセスにおいて、数あるセキュリティガイドラインでも技術要素の強いCIS Controlsを利用していることが特徴です。CIS Controlsは全20カテゴリー、計171個の情報セキュリティ対策項目を優先度の高い順に記載したガイドラインであり、各項目にて実装すべき対策・対策を実施すべき理由・対策手順が記載されています。
CIS Controls V7.1 Top20(全20カテゴリー)
CIS Controlsの内容についてはこちらも御覧ください。
■【解説】セキュリティ業務の自動化におすすめなガイドライン「CIS Controls」とは?
筆者は下記二つのケースで、CIS RAMを採用するメリットがあると考えます。
メリット① 初めてでもわかりやすい、具体的な手順の提示
CIS RAMの解説書にはリスク評価を行うための具体的な手順やサンプルが豊富に記載されています。また、企業の組織規模や経営目標に応じて、リスクを評価でき、優先対策が出力されるように構成されています。そのため、過去にリスク評価を実施したことがない組織/人物であっても、一定の品質でリスク評価を行うことができます。
メリット② 専門知識がなくても理解できる、評価結果のシンプルな見せ方
CIS RAMは、専門知識を必要とするセキュリティリスクを、経営層や事業部署等の専門家以外の方々でも理解ができるよう、定量化の上、リスク内容をシンプルな言葉で共有する仕掛けが施されています。そのため、専門知識に差異がある複数のステークホルダー間で、共通の認識を持ちつつリスク対応の検討を進めることができます。
情報セキュリティ対策にかけることができるコスト・かけるべきコストは、業種業態・組織規模によって異なります。
CIS RAMは、各企業が求めるレベルに応じて適切なリスク評価ができるよう構成されています。
CIS RAMに限らず一般的にリスクは下記の方程式で求められます。
Risk = Impact ( 影響 ) x Likelihood ( 発生可能性 )
また、下記のようなマトリクスを作成の上、リスクを評価します。
例:Risk = 2 x 3
しかし、CIS RAMではImpactの算出方法に一工夫入れることで、より企業に適し、多くのステークホルダーが理解・納得できるリスク基準を作成します。
CIS RAMのImpact算出は、①ミッション、②目的、③義務の三つの軸で評価します。
そして、あるセキュリティリスクにおいて、これらのスコア値が異なる場合は、最も高いものをImpactの値として算出します。
下記の例では、①ミッションの値が最大であるためImpactの値に決まりました。
Impact算出の3軸
組織がリスク評価基準を策定するにあたって、配慮におくべき点は、あらゆるリスクが相対的に評価できるように、一貫性と再利用性を意識した基準を策定することと、関係者が理解できるようシンプルな言葉を使うことにあります。
CIS RAMのリスク値算出の具体例
これら定量的に算出されたリスク値に対して、リスク許容度を踏まえて対応の必要性を検討します。また、対応が必要な場合は、容認・軽減・移転・回避の中からリスク対策を検討します。リスク値が許容値を超えている場合は原則として容認はできません。しかし、導入に掛かる時間、手間、コストもリスクとみなせるため、そのまま容認した場合のリスクと、対策した場合の(コスト等も加味した)リスクを総合的に判断の上でCIS Controlsを基に打ち手を検討します。
なお、CIS RAMでは、ImpactとLikelihoodのスコア算出の解像度として、5段階を採用するケースと3段階を採用するケースの2種類が提示されています。5段階と3段階の違いは、主に評価スピードや評価精度の違いとなります。下記のヒートマップで示される通り、5段階のほうがより精緻な評価ができ、取り得る対策の選択肢が増える代わりに、リスク評価により多くの工数が必要となります。
※閾値(T)とは許容できるリスクと対策が必要なリスクの堺であり、閾値を超えたリスクは軽減策を必要とします。
ここまでの話の中で、CIS RAMの基本であるリスク評価基準を作成するまでの仕組みと、そこからリスク値を求めるまでの考え方を紹介しました。CIS RAMを実務での活用イメージを持っていただくために、ランサムウェアの例を交えて、CIS RAMを使った実践的な対策アプローチを紹介します。
初めに、攻撃の前提条件を検討します。前提条件の検討では、まずは攻撃のステップを整理し、それに対して関連する資産を整理します。今回、ランサムウェアの感染を想定するので、まずはランサムウェアの感染までに関連する全ての資産を洗い出し、そこに攻撃者が付け入れる隙がないか調査します。
①現状の対策の適切性確認
関連資産を特定した後は、現時点での実施している対策処置が、脅威から守るために適切であるかを判断します。対策の適切性の判断には、前述のリスク値とリスク許容値を判定に利用します。
今回の例では、Impact, Likelihoodを5段階とするためリスク閾値が9のため、リスク許容値は9以下となります。(3段階の評価基準を策定していた場合は許容値が4以下となります)。
この場合、リスクのスコアが許容値の9を下回っていれば容認、9以上であれば何らかの追加対策が必要となります。
そして、リスク許容値以上のリスクに対して、現時点で何らかの対策が実施されているかを確認し、リスクが許容値未満に収まっているかを再度評価します。
②追加対策の検討
現在実施されている対策も含め、リスク値が許容値を上回っている場合は、追加対策を検討します。
今回の例では、ストレージと資金送金に関して脆弱性が残っていることが分かりました。これらの脆弱性に対して、脆弱性を削減するための案をCIS Controlsから選定します。
ただし、CIS Controlsの対策を導入するときもリスクを伴います。適用する前に、同じリスク評価基準に則りリスク値を求めます。その上で、対策リスクが受け入れられると判断した際に、追加対策を実行計画に落とし込み実行します。
CIS RAMには、今回紹介したリスク評価方法を実施するために便利な評価基準作成する際のサンプルや、リスクスコア値を計算するときのテンプレートが用意されており、非常に使いやすいガイドラインとなっています。CIS RAMは、現状の対策状況を把握するとき、対策方針を選定した理由を説明するときに有効です。これまでにリスク評価の進め方に悩まれた経験がある方は 一度CIS RAMを読んでみてください。参考となれば幸いです。