『セキュリティはなぜやぶられたのか』を読む 2

no extension
セキュリティはなぜやぶられたのか
ブルース・シュナイアー著 / 井口 耕二訳
日経BP社 (2007.2)
通常24時間以内に発送します。

前回の続き。 今回は第2部の4章から6章まで。 例によって引用の嵐だがご容赦を。 まずは前回の終わりに紹介した5段階評価法をもう一度挙げておく。

  1. 守るべき資産は何か
  2. その資産はどのようなリスクにさらされているか
  3. セキュリティ対策によって、リスクはどれだけ低下するのか
  4. セキュリティ対策によって、どのようなリスクがもたらされるか
  5. 対策にはどれほどのコストとどのようなトレードオフが付随するのか

4章から6章ではステップ2を中心に書かれている。 セキュリティ・リスクを分析・評価する場合は, 守るべき資産を含む系(システム)で考える必要があり, その系をどのように設定するかがとても重要になる。

「もちろん、想定すべき攻撃は守る資産によるし、資産はまた思惑によって決まる。 (中略) 守る資産をシステムという観点から理解することも重要だ。 資産と資産にまつわる機能をよく考えてみるだけでなく、まず、どこまでが資産なのかを明確にする必要がある。」(p.111)

その前に, 4章では「システム」を第1部よりも踏み込んだ形で述べているので以下に引用してみよう。

「基本的にシステムとは、シンプルな部品が相互作用を持ち、一体化したものである。 (中略) システムは他のシステムと相互作用を持ち、さらに大きなシステムを構成する。」(p.68)
「セキュリティもシステムである。 各種対策とその相互作用でできたシステムであり、システムとしての特質を持つ。 (中略) セキュリティ資産と各種機能の集合体であり、かつ、保護する資産自体の機能に影響を与える主体である。 (中略) しかし、システムとは予想もしなかった形で他のシステムと影響を及ぼしあうものである。この相互作用を「創発特性」と呼ぶ。 最近は、もう少しわかりやすく「意図せざる結果」と言うほうが好まれる。」(p.70)
「ある意味、セキュリティの侵害は、すべて、創発特性によるとも言える。 (中略) 創発特性は困ったことにも見えるが、それを攻撃者が見つけて攻撃してくるから対策の欠陥が見つかるという側面もある。 (中略) セキュリティシステムが有効だと何もおきないことが多いため、セキュリティが確保できているかどうかは、保護する資産や機能という面でどのように崩壊するかを検討する以外に確認する方法がない。」(p.71)

(以降「システム」を「系」と読み替えて書いていく。 特に理由はない。 単にそのほうが私にとってイメージしやすいから)

ここで「創発特性」という言葉が出てきた。 個人的にはやっぱり「意図せざる結果」という言い回しのほうがしっくり来るけど。 4章から6章では踏み込んだ形で書かれていないが, 「意図せざる結果」が顕れてくる原因には2つあるように思える。 ひとつは系同士の相互作用が複雑すぎて影響を予測できない場合。 「人間は想像を絶するものは想像できない」ってやつだ。 もうひとつは系の設定範囲が間違っている場合。 ある系が想定しなかった別の系に影響を及ぼす場合だ(上で挙げた引用は主に後者について述べている)。 どちらも予測が難しい難問だが, 後者であれば過去の経験を基に間違いを修正することである程度予測可能に(つまり「意図せざる結果」の発現を防ぐことができるように)なる。

セキュリティ・リスクが他のリスクと決定的に異なる点は「攻撃者」の存在にある。

「安全や信頼性の世界では、障害は偶発的におきると考えられている。 (中略) セキュリティシステムは、このような偶発的障害にも対応できなければならないが、偶発的ではない事態、つまり、知性が高く悪意のある人物がいて、いちばん困るタイミングと形でシステムに障害を引き起こすという事態にも対応できなければならない。
この「敵」の存在が安全対策とセキュリティ対策を分ける。 (中略) そして、攻撃者によって安全が失われることを「セキュリティ障害」と呼ぶ。」(p.73)
「資産を守るのがセキュリティだが、その前提には攻撃しようとするものの存在がある。 攻撃者の動機と攻撃方法がわかれば、リスクも評価できるし防止策も検討できる。 (中略) 攻撃者はセキュリティシステムの一部だとも言え、適切に保護するためには攻撃者も含めてシステムを検討する必要がある。」(p.84-85)

(ちなみに前回は書かなかったが, 「「攻撃者」という単語には、倫理的な意味合いも法律的な意味合いもない。悪意があることも意味しない(p.19)」。 「攻撃者」をそのような色眼鏡で限定してしまうことはリスク分析を誤る原因になる)

つまりステップ2のリスク分析を行う際には, その系に必ず「攻撃者」を組み入れる必要がある。 しかし「攻撃者」は変動性の高いパラメータであり, 考え得る全ての「攻撃者」を想定することは事実上不可能である。

「攻撃者は、動機や目的、スキル、アクセス、資源、リスク忌避などで分類できる。」(p.85)

つまり 「五段階評価法のステップ2「その資産はどのようなリスクにさらられているのか」を検討するためには、攻撃者を理解する必要があるのだ(p.85)」。 まず守るべき資産があり, その資産に対し攻撃するであろう攻撃者モデル(?)を特定し, その攻撃者によってもたらされるかもしれない脅威(=ハザード)をリストアップする。 そうしてはじめてその脅威に対するリスクを分析できるようになるのである。

さて, ここでもう一度「リスク」の問題に立ち返るわけだが, ここまで(第2部の6章まで)読んだ感想として最も不満に思うのは, この本において「リスク」が重要なファクタであるにも関わらず, あまりにもアドホックな使い方をしているように見えることだ。 おそらく著者のブルース・シュナイアーさんの頭の中ではきっちり切り分けができているんだろうけど, 本の中ではみんな同じ「リスク」という名前を付けているために読んでいる方は混乱してしまう。 例えば5段階評価法には「リスク」という単語が3回も出てくるけど, それらは同じ「リスク」なのか。 また攻撃者のリスク忌避は5段階評価法に出てくる「リスク」と同じなのか違うのか。 いったい他の人はみんなスラスラと理解できているのだろうか。 誰か理解できるコツを教えてくれ!

ステップ2のリスク分析についてはこう書かれている。

「脅威が把握できたら、その影響とリスクを検討する。 攻撃によって脅威が決まる。攻撃の可能性や破壊力によってリスクが決まる。 (中略) 資産を検討し、その資産に対する脅威を洗い出す検討を「脅威分析」とか「リスク分析」と呼ぶ」(p.116)
「脅威分析やリスク分析は、システム全体について行わなければならない。 (中略) 攻撃者が目的を達成する方法は数多くあることを忘れてはならない。 (中略) ふたつのリスクがあるなら、一方に完璧な対策を施してもう一方を無視するより、両方に部分的な対策を施すほうが合理的だ。」(p.117)

これは「科学的評価リスク」(前回参照)によるリスク管理手法そのものだ。 リスクを「被害の重大性×生起確率」のみで評価し, その対策においては系全体でリスクが最小になるように調整する。 (リスクの再配分)

一方, 攻撃者が忌避するかもしれないリスクとは, リスクそのものを指すのではなく「リスク受容」に関する分析のように見える。

「攻撃に益がないと普通なら思うはずのセキュリティシステムでも、テロをやめさせることはできない。 普通の感情的攻撃者なら思いとどまるようなセキュリティシステムでも、テロをやめさせることはできない。 攻撃の成果だと思うことが違うからだ。 テロをやめさせたいなら、報道を減らして目標を阻むことだ。 実際にはなかなかできないことではあるが。」(p.100)

ある系を考えるとき, 防御者と攻撃者の(少なくとも)2人のプレイヤーがいて両者の思惑が衝突していると考えることができる。 思惑が違っているのだからその系におけるリスクとベネフィットも違っている筈である。 攻撃者から見てベネフィットに対してリスクが高く受容できないと判断すれば, 攻撃者はその系の資産に対して攻撃を行わないだろう。 逆にリスクに比べてベネフィットが高いと判断すれば, リスクを受容し攻撃を実行する筈である。 そしてセキュリティ対策を施すことは防御者と攻撃者それぞれのリスクとベネフィットのバランスが変わるということでもある。

吉川肇子さんの 『リスクとつきあう』 によると

「スター(Starr [1969])は、リスクとベネフィットの関係について、次のように結論づけている。 すなわち、リスクの受容はほぼベネフィットの三乗に比例するということである。 (中略) このことは、ベネフィットが増大すると知ると、リスク受容の可能性が飛躍的に高まることを示唆している。
また彼は、同程度のベネフィットが得られる場合には、自発的なリスクの受容は、非自発的なリスクの受容の一〇〇〇倍であることも明らかにしている。」(p.200-201)

だそうである。 前回「意思決定のためのリスク」や「リスク不安」について書いたが, これらは「リスク受容」と密接に関っていると言える。

攻撃者のリスク忌避の可能性も防御者が判断するトレードオフも結局は「リスク受容」の問題に帰結するような気がする。 ある対策によって防御者と攻撃者それぞれのリスクとベネフィットのバランスが変わり, バランスが変わることで「リスク受容」が変化し(これがつまりトレードオフ=リスク忌避), 変化した「リスク受容」によって行動も変化する。 問題はリスクとベネフィットをどう評価するのか(科学的評価なのか感情的な評価なのか)ということと, 一方の「リスク受容」の結果によってもう一方のリスクとベネフィットのバランスが変わるということだ。

というわけで, 保留は保留のままに読み進める

photo
セキュリティはなぜやぶられたのか
ブルース・シュナイアー 井口 耕二
日経BP社 2007-02-15
評価

ペネトレーションテスト入門 情報システムセキュリティの実践的監査手法 ハッカーズ その侵入の手口 奴らは常識の斜め上を行く Binary Hacks ―ハッカー秘伝のテクニック100選 暗号事典 ウェブ人間論

by G-Tools , 2007/04/02