リスク分析とリスク評価東電通

ページ（1/3）

セキュリティ対策に追われて、業務効率が落ちないように！
  最近では企業に対して、個人情報漏洩などへの対策を厳しく行うことが求められるようになりました。そうした流れの中で、ISMSといったマネジメントシステムを取得する企業が増えています。
  また、J-SOXに代表されるように、企業には正確な財務報告を行うための内部統制強化が義務づけられています。財務情報を改竄されないための、「ITへの対応」が急務となっています。

  これらの対策を行うために、必ずしも高価なシステムを導入しなければいけない訳ではありません。しかし、限られた人的リソースだけで、全ての問題を解決することも現実的ではありません。
  東電通では特にリスク評価の部分に注目し、担当者の負荷を軽減するための支援ツールをご提供しております。

1) 情報マネジメントシステム

最初の一歩はリスクアセスメントから！
プライバシーマーク（pマーク）や、ISMS（ISO/IEC 27001）といった情報セキュリティマネジメントシステムの取得は、もはや当たり前という風潮になりつつあります。特にリスク評価（リスクアセスメント）については、状況が変化する度に評価をやり直す必要があり、社内システム担当者への負担が大きくなっています。

2) 日本版SOX法

日本版COSOでは「ITへの対応」が追加！
日本版SOX法（J-SOX）の目的の一つに、投資家に対して財務報告の信頼性を保証することがあります。いくら業務プロセスの文書化といった内部統制を組み込んだとしても、最終的に財務データを第三者から改竄されてしまっては信頼性を確保できません。情報システムのリスク評価は、J-SOXにおいても切り離せない問題です。

1-2. 脆弱性管理システムの概要

社内担当者がパンクしてしまう前に！
大規模なネットワークになると、そのリスク分析と評価には大人数の専門家チームが必要となります。しかし実際には、遙かに少人数の社内システム担当者だけで運用していることが一般的ではないでしょうか？
東電通のご提案する支援ツールでは、全国の支店・営業所・工場等にプロファイラーを設置します。社内システム担当者は、本社のマネージャから一括して管理運用を行います。

マネージャ：
ネットワークの状況の確認と各種設定を行うデバイス
プロファイラー：
マネージャから提供されるネットワーク情報やプロファイルを元に、実際にスキャンを行う脆弱性検査機能を持つデバイス

バルネラビリティーリスク計算式

より精密な採点方式！
従来までの製品では、採点方式が5段階評価といった曖昧なものであることがほとんどでした。しかし、東電通の提供するツールではVulnerability Risk計算式と呼ばれる方程式を採用することで、より精密なリスク評価を実現しています。
脆弱性が発表されてから日数が経っている。攻撃された場合に影響度が大きい。スキルがなくても攻撃できる。といった場合には、リスクとしては高く評価される仕組みになっています。

Vr =√T ×(R! / S^2)

Vr =リスク評価
T =脆弱性が発表されてからの日数
R =攻撃された場合の影響度
S =攻撃者に必要とされるスキル

1-3. リスク分析と評価例

支援ツールで、担当者の負担を軽減！
自分の管理しているネットワークで、現在どのような問題が発生しているのかしっかり把握できているでしょうか？攻撃された後や、障害発生後に気づいても後の祭りです。常日頃から状況をチェックしていることが大切です。
もちろん社内システム担当者だけで全てのサーバやネットワーク機器を、毎日チェックすることは不可能です。可能だとしても、人間である以上はチェック漏れやミスを防ぎきることは出来ません。そこで役に立つのが、支援ツールとなります。

1) コンプライアンスの状況確認

まず最初にセキュリティポリシーが守られていないシステム数、つまりコンプライアンス（法令・内部規定遵守）の状況をチェックします。今回の例では、12月からアメリカ拠点で状況が悪化している様子が、一目で把握できます。

2) 対応を優先させるアプリケーションの洗い出し

コンプライアンスの状況が許容範囲を超えた場合、その要因のうちで特に影響の大きいアプリケーションを洗い出します。例では、マイクロソフトIIS（Webサーバ）の問題を解決することで、多くのリスクを回避できる様子が表示されています。

3) 問題となるバージョンの確認

特定されたアプリケーションのうち、さらにどのバージョンに問題の原因があるかを分析します。例では、IISの旧バージョンである3.0と4.0が原因だと表示されています。逆に新しいバージョンの5.0では、リスクが少ない様子が確認できます。

4) 解決すべきホストの特定

原因が特定できたら、次はどのホスト（端末）で対応をすれば良いのかを探し出します。例では、17台のWebサーバのうち、10台でIISのバージョンアップが必要であることが示されています。

1-4. セキュリティシステム診断サービス

情報セキュリティシステム診断サービスとは、お客様のLAN及びDMZ(非武装地帯)にあるPC、サーバ、ネットワーク機器の抱える脆弱性を診断しレポートするサービスです。
法人のお客様からご相談を賜り、各種ツールを駆使してサービス提供しております。ASPサービスとしては、下記にNTTPCコミュニケーションズ社の提供する診断サービスをご紹介します。

1) 診断方法

NTTPCコニュニケーションズ社がご用意したスキャナをお客様のLANに接続するだけで、スキャナが自動的に診断対象に既知の脆弱性を調べる試験トラフィック（擬似攻撃ではありません）を投げ、それに対する診断対象のレスポンスによって、脆弱性の有無を確認します。

2) 診断結果

  数値で分かりやすく記述したレポートから、診断対象が具体的にどのような脆弱性をもっており、どのような対策を打てばいいのかがわかります。

  診断データはサービスを利用して頂いた場合の比較に使用する目的で、東電通及びNTTPCコニュニケーションズ社にて1年間保存させていただきます。ISMS規程で管理されたサーバ内で、決められた者のみがアクセス出来る環境下にて保持します。1年経過後は消去させて頂きます。
  また、1年経過しない場合でも、お客様の要請によって、営業時間内であればいつでも消去させて頂きます。