Webアプリケーション情報セキュリティリスク

情報システムとテクノロジーの使用には、特定のリスクが伴います。 リスク評価は、情報セキュリティの分野における活動の有効性を監視し、適切な保護対策を講じ、効果的な経済的に健全な保護システムを構築するために必要です。



リスクの基礎は、組織に対する潜在的な脆弱性と脅威によって形成されるため、情報の機密性と整合性、マルウェアの拡散と金銭的詐欺の侵害の潜在的または実際のリスクを特定し、情報セキュリティの脅威を分類することは、Webアプリケーションを保護する主要なタスクの1つです。



リスクは常に監視し、定期的に再評価する必要があります。 誠実で慎重に文書化された最初の評価は、フォローアップを大幅に簡素化できることに注意してください。 リスク管理は、情報セキュリティの分野における他の活動と同様に、情報システムのライフサイクルに統合する必要があります。 次に、効果が最大になり、コストが最小になります。 情報システムのライフサイクルの主要な段階を区別できます。

• 会社のビジネスプロセスに応じた開始。
• インストール;
• 操作;
• 廃止措置。

情報システムとそのコンポーネント

リスク評価プロセスの最初のステップは、評価の対象、つまり分析対象の情報システムの境界、およびIPを構成するリソースと情報を決定することです。 システムについて次の情報を収集する必要があります。

• IPアーキテクチャ;
• 使用されるハードウェア。
• 使用したソフトウェア。
• システムインターフェイス（内部および外部接続）;
• ネットワークトポロジ。
• システムに存在するデータと情報。
• サポートスタッフとユーザー。
• システムのミッション（つまり、IPによって実行されるプロセス）;
• システムとデータの重要性。
• システムおよびデータの機密性（つまり、必要なセキュリティレベル）。

アクション：システムの機能とその実際のコンポーネントの技術仕様の評価。

リスク管理

リスク管理には、周期的に交互に行われる2種類のアクティビティが含まれます。

• 日常的なリスク評価;
• 効果的で経済的な保護具の選択（リスク軽減）。

特定されたリスクに関連して、次のアクションが可能です。

• リスクの排除（たとえば、脆弱性の排除による）。
• リスクの低減（たとえば、追加の保護装置またはアクションの使用による）。
• リスクの受け入れ（および適切な条件での行動計画の作成）。

リスク管理は、次の段階に分けることができます。

• 分析されたオブジェクトのインベントリ。
• リスク評価方法の選択;
• 資産識別;
• 脅威とその結果の分析。
• セキュリティ脆弱性の定義。
• リスク評価;
• 保護対策の選択;
• 選択された対策の実施と検証;
• 残留リスク評価。

主なリスクを判断するには、次のチェーンをたどることができます： 脅威の原因>要因（脆弱性）>脅威（アクション）>結果（攻撃） 。

• 脅威の原因は、潜在的な人為的、人工的、または自然の保安上の脅威の保因者です。
• 脅威（アクション）とは、所有者、所有者、またはユーザーに有害な保護オブジェクト（情報リソース）に向けられた行為（アクションまたは非活動）の潜在的な危険（潜在的または現実）であり、情報の歪みや損失の危険にさらされています。
• 要因（脆弱性）は、情報化のオブジェクトに固有の理由であり、特定のオブジェクトでの情報のセキュリティの侵害につながり、情報化のオブジェクトの機能プロセスの欠点、自動化システムのアーキテクチャのプロパティ、ソフトウェアとハ​​ードウェアプラットフォームで使用される通信プロトコルとインターフェース、および動作条件に起因します。
• 結果（攻撃）は、利用可能な要因（脆弱性）を介した脅威のソースの相互作用中に、脅威の実現の結果（考えられるアクション）です。

アクション：会社の情報セキュリティポリシーの実施。

脅威の原因

情報セキュリティの脅威の人為的発生源は、その行為が意図的または偶発的な犯罪と見なされる行為者です。 対策は、情報セキュリティの主催者に直接依存しています。



人為的な脅威の発生源として、保護されたオブジェクトの標準的な手段で作業するためのアクセス（許可または無許可）があるエンティティを考慮することができます。 または、簡単な言葉で言えば、ハッカー侵入者またはそのグループ、または違法または違法行為のさまざまな要因に動機付けられた会社員です。 情報セキュリティの侵害につながる可能性のあるアクションは、外部と内部の両方になります。



外部ソースはランダムまたは意図的であり、さまざまなスキルレベルがあります。 これらには以下が含まれます。

• 犯罪構造;
• 潜在的な犯罪者とハッカー。
• 悪徳なパートナー;
• テレマティクスサービス技術者;
• 監督機関および緊急サービスの代表者;
• 法執行機関の代表者。

原則として、内部の主題（ソース）は、ソフトウェアおよびハードウェアの開発および操作の分野における高度な資格を持つ専門家であり、解決すべきタスクの詳細、ソフトウェアおよびハードウェア情報保護の構造と基本機能および操作の原則に精通し、標準的な機器を使用する能力を持ち、ネットワークハードウェア。 これらには以下が含まれます。

• コアスタッフ（ユーザー、プログラマ、開発者）。
• 情報セキュリティサービスの代表者。

アクション：確率的規模の脅威ソースの編集。

脅威分析

Webアプリケーションの情報セキュリティに対する脅威の主な原因は、外部の侵入者です。



外部侵入者-原則として、商業的利益に動機付けられ、会社のウェブサイトにアクセスする能力を持ち、調査中の情報システムの知識がなく、ネットワークセキュリティの確保に高い資格を持ち、さまざまな種類の情報システムへのネットワーク攻撃の実装経験が豊富な人



これに基づいて、攻撃の潜在的な表面積を減らすために、脆弱性の最大可能数を特定する対策を講じる必要があります。 これを行うには、技術的な脆弱性の識別手順を実行する必要があります。 これらは一度限りの規制であり、さまざまなインフラストラクチャオブジェクトに影響します。



Webアプリケーションのコンテキストでは、次の手順に分けることができます。

• サーバーコンポーネントの脆弱性を検索します。
• サーバーのWeb環境の脆弱性を検索します。
• 秘密情報や秘密情報を公然と受け取る可能性についてリソースを確認します。
• パスワードの選択。

アクション：脆弱性を特定するための作業スケジュールの作成、パッチ管理。

技術的な脆弱性の特定

技術的な脆弱性の識別は、企業ネットワークの外部および内部境界に対して実行されます。 外部境界は、すべてのネットワークエントリポイントの集合体です。 内部境界には、内部からアクセス可能なホストとアプリケーションが含まれます。



従来、2つの主要なテスト方法が使用されています。

• ブラックボックステスト;
• ホワイトボックステスト。

「ブラックボックス」メソッドによるテストは、テストオブジェクトの構成と内部構造に関するテストパーティ側の知識の欠如を意味します。 さらに、テストオブジェクトに対して、すべての既知のタイプの攻撃が実装され、これらの攻撃に対する防御システムの安定性がチェックされます。 使用されるテスト方法は、セキュリティシステムに侵入しようとする潜在的な攻撃者のアクションを出力します。



「ホワイトボックス」方式では、テストオブジェクトの構造と構成に関する知識に基づいてテストプログラムを準備します。 テスト中、セキュリティメカニズムの存在と操作性、保護システムの構成と構成の安全要件への準拠が確認されます。 脆弱性の存在に関する結論は、使用されているセキュリティツールとシステムソフトウェアの構成の分析に基づいて行われ、実際にテストされます。



また、「グレーボックス」と呼ばれるテストメソッドがあります。これは、テストオブジェクトに関する部分的な情報がわかっている場合に上記のメソッドを組み合わせたものです。



調査の別のポイントは、ピーク負荷で動作し、侵入者またはマルウェアによって生成される大量の「ジャンクトラフィック」に耐えるインフラストラクチャの機能です。



高負荷またはピーク負荷でのシステムの応答時間を調査するために、「ストレステスト」が実行されます。このテストでは、システムで発生する負荷が通常の使用シナリオを超えます。 負荷テストの主な目標は、システムのパフォーマンスを監視するために、システムに特定の予想負荷を作成することです（たとえば、仮想ユーザーを介して）。



アクション：規制を含む情報セキュリティ監査（PCI DSSによるなど）。

リスク対応

資産の価値を脅威および脆弱性と組み合わせる場合、これらの資産の機密性、整合性、および/またはアクセシビリティに関する問題の脅威/脆弱性の組み合わせを作成することを考慮する必要があります。 これらのレビューの結果に応じて、資産価値の適切な値を選択する必要があります。 機密性、整合性、またはアクセシビリティの違反の結果を表す値。



この方法を使用すると、検討中の特定の脅威/脆弱性の組み合わせに応じて、1つの資産に対して1つ、2つ、または3つのリスクを考慮することになります。



実際の脅威を特定する際、専門家分析手法は、特定の脅威にさらされる保護対象、これらの脅威の特徴的なソース、および脅威の実装に寄与する脆弱性を特定します。



分析に基づいて、脅威と脆弱性のソース間の関係のマトリックスがコンパイルされ、そこから脅威（攻撃）の実装の考えられる結果が決定され、これらの攻撃のハザード係数は、それぞれの脅威のハザード係数と以前に特定された脅威のソースの積として計算されます。 同時に、考慮されるオブジェクトで発生する確率が低いため、ハザード係数が0.1未満の攻撃（専門家の仮定）は将来考慮されない可能性があると想定されています。



アクション：コンプライアンス管理、統合、およびITおよびISポリシーの要件へのコンプライアンスの制御。

中和と対策

リスク軽減には、優先順位の設定、リスクを軽減する対策の評価と実装が含まれ、リスク評価の結果に基づいて推奨されます。



リスクを完全に排除することは不可能であるため、組織の経営陣は、組織の予算、リソース、および任務への悪影響を最小限に抑えながらリスクを許容可能なレベルに減らすために、必要最低限​​の適切な安全管理のみを実装して、最低限の十分性の原則に従う必要があります。



リスク管理に必要な要素は、経済効率の評価です。その目的は、追加の対策を実装するコストがリスクを減らすことで報われることを実証することです。 安全制御の実装コストを計算するときは、次のことを考慮してください。

• ハードウェアおよびソフトウェアの取得費用。
• セキュリティ対策の強化の結果としてシステムのパフォーマンスまたは機能が低下した場合、IPの運用効率が低下します。
• 追加のポリシーおよび手順を開発および実装するコスト。
• 提案された安全規制当局の実施に関与する人員の追加費用。
• スタッフのトレーニング費用。
• 護衛費用。

セキュリティ対策として、フルタイムの専門家および/または情報セキュリティのアウトソーシングを通じて準備された以下のソリューションを（個別および集合的に）実装できます。

• アプリケーションレベル（WAF）での攻撃に対する保護システム。
• ISインシデントおよびイベント管理システム（SIEM）;
• コンプライアンス管理システム。
• アイデンティティおよびアクセス管理システム（IAM）。
• 企業ネットワークの単一および多要素認証システム。
• 機密情報漏洩保護システム（DLP）。
• 情報アクセス制御システム（IRM）;
• 公開キー基盤（PKI）;
• ネットワークセキュリティソリューション。
• アンチウイルス保護システム。
• スパム、ウイルス、その他の脅威に対する電子メール保護システム。
• Webトラフィック用のコンテンツフィルタリングシステム。
• 周辺機器およびアプリケーションのアクセス制御システム。
• ソフトウェア環境の完全性監視システム。
• 情報を保存するための暗号保護システム。

アクション：情報セキュリティを確保するための技術的対策の実施。 行政措置の実施; スタッフの意識を高めます。