脅威分析 〜ATTACKツリー〜
発見された脅威を引き起こす攻撃手法を列挙する手法として Attack Tree があります。Attack Tree はツリー構造で表現され、分析対象の脅威についての攻撃手段を可視化できます。STRIDE によって抽出される脅威は一般に抽象度が高いですが、Attack Tree を作成することで、脅威を実現させうる具体的な攻撃手法を洗い出すことができます。
ATTACK TREE のイメージ図
Attack Tree の作成手順
- 【手順1】
- 自社にとって起こってほしくない事象を決め、起点とします。
- 【手順2】
- 起点に定めた事象を実現させうる攻撃手段を一段下に記載します。
※攻撃手段を考える際には、STRIDEの観点で考えてみましょう。 - 【手順3】
- このような作業を繰り返し行い、脅威を実現させる手段を洗い出します。
※Attack Tree の上下のつながりの関係は、目的と手段の関係になっています。
One point
Attack Tree の作成には相応の時間を要するため、すべての脅威に対して Attack Tree を作成することは現実的ではありません。そのため、対象の脅威を絞り込む必要があります。ここでは、脅威を絞り込む上での指針の例を 3 点示します。
①インタフェースに着目する方法
通信インタフェースにおける脅威はネットワークからの攻撃が可能な場合があり、物理的なアクセス等を必要とする脅威に比べて攻撃元が広範です。
② データの入出力に着目する方法
機器に対する脅威としては、出力されるデータよりも入力されるデータのほうが重大な脅威になりやすいことが多いため、入力されるデータに対する分析の優先度を上げることを検討します。
③脅威が実現した場合の影響に着目する方法
例えば、機密性の観点で、機器の任意の情報が漏えいしうる脅威が存在した場合、一部の情報が漏えいするような脅威と比べると優先度が高いです。
出典:経済産業省
機器のサイバーセキュリティ確保のためのセキュリティ検証の手引き(別冊 1 脅威分析及びセキュリティ検証の詳細解説書)
https://www.meti.go.jp/policy/netsecurity/wg3/2_bessatsu1_20210419.pdf