迅速なセキュリティ対策を実現するには、まず正しい心構えを持つことだ。先行7社の事例から、設計時とインシデント対応時の心構えを探った。導き出されたのは8箇条。いずれも高度な優先順位付けを支える上で不可欠だ。

 セキュリティ対策では、まずは重要な情報を守れるように、優先順位を付けてセキュリティ設計をする。それでも、100%守ることはできない。そこで、インシデント(事故)対応のためのチーム体制、プロセスを作っていく。インシデント対応では、被害を減らして素早く復旧できるように対応に優先順位を付ける必要がある。

 優先順位を付けたセキュリティ設計、インシデント対応には大きく八つの心構えがある(図1)。図1の(1)~(3)がセキュリティ設計、(4)~(8)がインシデント対応に当たる。

図1●優先順位付けセキュリティの八つの心構え

 どんな立派なセキュリティ対策製品を導入しても、あるいは個人の努力で高度なスキルを身に付けても、チームが正しく動けないとセキュリティ対策は機能しない。正しく動くための前提となるのが、以下で紹介する八つの心構えだと認識してほしい。

1 機能設計前にあぶり出せ

 システムを開発する際、実施するセキュリティ対策の優先順位付けは要件定義フェーズで決めなければならない。「セキュリティ対策は機能設計にかかわる」(日本IBM グローバル・ビジネス・サービス事業 アプリケーション開発推進 理事 Distinguished Engineerの大西克美氏)からだ。

 例えば、ワンタイムパスワードを利用するといったログイン機能の仕様は、セキュリティ要求を洗い出せていないと決められない。後付けでは実施できることに限界があるし、コストも余計に掛かってしまう。

 セキュリティに掛けられる予算は制限がある。「明示されていない場合が多いが、システム投資の8~10%がセキュリティ予算の相場」(大西氏)。適切な優先順位付けができていないと、セキュリティ面が脆弱なシステムになってしまう。

 仕様が決まっていない段階でどうセキュリティ要求を洗い出すのか。大西氏の現場では、要件定義フェーズで作成されたユースケース図を活用する(図2)。

図2●要件定義時に脅威を想定したユースケース図を作成
日本IBMの大西氏は、ユースケース図を作成した次の段階で、脅威となる非正規のユースケース(アブユースケースまたはミスユースケース)の図を作成する。これをインプットに、システムに持たせるセキュリティ機能を検討する
[画像のクリックで拡大表示]

 利用部門と要件定義担当者が作成したユースケース図には、アクターである正規利用者と、各ユースケース(図ではUC101~UC202)が書かれているはずだ(図2(0))。このユースケースを前提に、どういった脅威があるのかというシナリオ(脅威シナリオ)を検討する。検討チームとしては「利用部門、当該システムに詳しいエンジニア、セキュリティエンジニア、詐欺などの犯罪に詳しい専門家に参加してもらうとよい」と、大西氏は説明する。

攻撃と正規の利用の関係を示す

 次に、脅威シナリオを基に、攻撃者のアクターとそのユースケースをユースケース図に書き足す(図2(1))。例えば「攻撃者が正規利用者になりすまして、商品を盗む」という脅威シナリオを想定したとする。正規利用者になりすますには「既知のアカウント、パスワードを利用する」や「登録会員情報窃取」といったユースケースが考えられる。商品を盗むには「配送先住所を変更」といったユースケースがあるだろう。こうした非正規のユースケースを「アブユースケース」や「ミスユースケース」と呼ぶ。

 非正規のユースケースが、どの正規のユースケースにとって脅威となるのかは「<<threaten>>」の添え字を付けた矢印で関係を示す(図2(2))。「偽サイトの開設」や「正規サイトの脆弱性を利用」といった、通常のユースケースとは外れた経路からやってくる脅威もある。これらも脅威シナリオの検討に基づいて、ユースケース図に書き込んでいく(図2(3))

 非正規のユースケースにはIDを付与しておく。図2で「THT+数字」で表しているのがそれだ。その上で、脅威を定量的に評価する。やり方は一般的なリスクアセスメントと同様だ。保護対象の重要度、攻撃の発生確率、攻撃による影響度合いをそれぞれ1~3点で評価して、三つの数値を掛け合わせた値をアセスメント結果とする。アセスメントの結果、対策内容、対策コストを一つの表に整理して、利用部門やシステム部門とともに実施するセキュリティ対策の優先順位を決める。

 大西氏は「利用部門には、アセスメント結果の数字を見せないほうがいい。アセスメント結果が18点以上が対策必須の『赤』、11点以下が対策不要の『緑』、その間が投資可否の判断が必要な『黄』などと3段階に分類して提示すべきだ。でないと、会議が数字いじりで紛糾する。また、赤に分類される脅威と対策は予算内になるように調整しておく」とアドバイスする。

 「黄」に分類された脅威は、予算や技術の成熟度の都合で対策を実施しないこともある。その際、「実施しなかった対策を理由とともに文書に残し、利用部門と合意しておく」(大西氏)。将来的な拡張開発の参考にしたり、セキュリティ事故になった場合のトラブルを防止したりするためだ。

この先は有料会員の登録が必要です。「日経SYSTEMS」定期購読者もログインしてお読みいただけます。有料会員(月額プラン)は申し込み初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら