201x/x/x 社外秘 リスク算定表A-業務フロー管理(全社共通) リスク事象 オペレーション 情報の生成・取得 リスク結果 誤った情報の作成 リスクの主体 偶発/故意 従業者 偶発 従業者 従業者 不要な情報の作成 誤った情報の取得 不要な情報の取得 従業者 偶発 偶発・故意 偶発 年間 発生回数 リスク詳細 作成者による誤字・脱字。 情報元の誤り、参照情報の誤り。 作成者による誤った情報の混入。 作成者による業務に不必要な情報の作成。 実施済対策 残留リスク リスク値 残留リスク 発生確率 損失度 資産価値 資産価値 資産価値 1 2 3 10 a 作成者による作成内容の校閲。 ・属人的であり、見逃す可能性。 60% 1 6 12 18 10 b 他者による作成内容作成内容の校閲。 ・属人的であり、見逃す可能性。 20% 1 2 4 6 5 a 作成者による複数の情報元から収集した情報の ・属人的であり、誤り、怠惰の可能性。 突合による信頼性、信ぴょう性評価。 60% 1 3 6 9 5 b 他者による、収集情報の信頼性、信ぴょう性評 価。 ・属人的であり、誤る可能性。 20% 1 1 2 3 5 a 作成者による作成内容の校閲。 ・属人的であり、見逃す可能性。 60% 3 9 18 27 5 b 他者による作成内容の校閲。 ・属人的であり、見逃す可能性。 20% 3 3 6 9 0.3 a 作成者による作成内容の校閲。 ・属人的であり、見逃す可能性。 60% 2 0.36 0.72 1.08 0.3 b 他者による作成内容の校閲。 ・属人的であり、見逃す可能性。 20% 2 0.12 0.24 0.36 従業者 故意 同上 0.1 a 他者による作成内容の校閲。 ・属人的であり、見逃す可能性。 20% 2 0.04 0.08 0.12 従業者 偶発 他者からの誤った指示による業務に不必要な情報の作 成。 0.1 a 指示者とは別の他者による作成内容の校閲。 ・属人的であり、見逃す可能性。 20% 2 0.04 0.08 0.12 従業者、他部門従業者 偶発 組織内情報提供者からの誤った(不正確、欠落した)内 容の情報の取得。 1 a 情報入手者による取得内容の確認。 ・属人的であり、見逃す可能性。 ・情報に精通していないため、不備を見逃す可 能性。 70% 3 2.1 4.2 6.3 1 b 情報に精通した他者による取得内容の確認。 ・属人的であり、見逃す可能性。 ・情報に精通した者の不在。 20% 3 0.6 1.2 1.8 1 c 情報提供者による、作成後情報の内容確認。 ・属人的であり、見逃す可能性。 60% 3 1.8 3.6 5.4 従業者、他部門従業者 故意 同上 0.1 a 情報に精通した他者による取得内容の確認。 ・属人的であり、見逃す可能性。 ・情報に精通した者の不在。 20% 3 0.06 0.12 0.18 顧客、取引先 偶発 取引先、顧客からの誤った(不正確、欠落した)内容の情 報の取得。 0.3 a 情報に精通した他者による取得内容の確認。 ・属人的であり、見逃す可能性。 ・情報に精通した者の不在。 20% 3 0.18 0.36 0.54 顧客、取引先 故意 同上 0.1 a 情報に精通した他者による取得内容の確認。 ・属人的であり、見逃す可能性。 ・情報に精通した者の不在。 20% 3 0.06 0.12 0.18 競合、クラッカー 故意 身元を偽った者からの情報取得。 0.1 a コールバック等による情報提供者の本人確認。 ・属人的であり、確認忘れ、怠惰の可能性。 20% 3 0.06 0.12 0.18 0.1 b 電子署名などによるシステム的な、情報提供者 の本人確認。 電子署名のなりすまし。 5% 3 0.015 0.03 0.045 a 情報入手者による取得内容の確認。 ・属人的であり、見逃す可能性。 ・情報に精通していないため、不備を見逃す可 能性。 60% 3 1.8 3.6 5.4 従業者、他部門従業者 偶発 組織内情報提供者からの業務に不必要な情報の取得。 1/2 1 201x/x/x 社外秘 リスク算定表B-1-IT管理(社内サーバ) リスク リスク種別 リスク事象 リスク主体 デバイス、アプリケーション、デー ・未認可の内部の者 タへのアクセス ・未認可の外部の者 ・認可された内部の者 ・認可された外部の者 技術的脆弱性の利用 権限奪取 リスク値 リスク結果 実施済対策 年間発生回数 ・OS、ミドルウェア、アプリケーション ・ディスプレイ画面から情報 ・データの窃取 (オープンソース、ライブラリ含む)の脆弱 露呈 ・データの露呈 性の悪用 ・LAN I/Fから情報流出 ・データの改ざん ・直結端末から情報流出 ・データ消去 ・直結端末の画面から情報 ・不要データの追加 露呈 ・データの誤用 ・管理されていないユーティリティ、サー ・USB I/Fから情報流出 ・プログラムの改ざん ビス、コマンドの誤用・悪用 (USBメモリ、CD-ROM等媒 ・プログラム消去 体経由も含む) ・不正プログラムの追加 ・Bluetooth I/Fから情報流 ・プログラムの誤作動 ・管理されていないユーティリティ、サー 出 ・プログラムの誤用 ビス、コマンドの誤用・悪用 ・攻撃継続のための仕込み ・設定変更 ・攻撃の起点としての利用 ・設定消去 (遠隔操作、ボット化) ・設定追加 ・パーミッション設定ミスの誤用・悪用 ・アクセス権の変更 ・アクセス権(アカウント)の追加 残留リスク 残留リスク 発生確率 損失度 資産価値 資産価値 資産価値 1 2 3 5 a ・OS、アプリケーション等の自 ・旧バージョンのコンピュータ上 動アップデート。 への残留。 ・ファイアウォールによるシステ ・ゼロデイ攻撃。 ムへのアクセス制限。 20% 3 3 6 9 1 b ・不要なサービスの停止又は 削除。 ・ウイルスまたは遠隔操作によ る停止したサービスの再起動。 ・ユーティリティ等の残留。 20% 5 1 2 3 1 c ・不要なポートのアクセス制 限。 ・ウイルスまたは遠隔操作によ る停止したポートの開放。 ・ポートの見逃し。 20% 5 1 2 3 1 d ・パーミション設定後のダブル ・属人的であり見逃す可能性。 チェック。 ・侵入をリアルタイム検知でき ・ログ解析による侵入の検知。 ない可能性。 40% 5 2 4 6 ・入力制限設定不備の誤用・悪用による 不正キャラクタの入力(バッファオーバー フロー、SQLインジェクション等) 0.3 e ・アプリケーションレベルでの入 ・アプリケーションに依存するた 力値制御。 め、網羅的ではない。 20% 3 0.18 0.36 0.54 ・総当たり攻撃によるパスワードの解析 1 a ・パスワードは8文字以上、英 ・ソーシャルエンジニアリングに 大文字・英小文字・数字・記号 よるパスワード漏えい。 の内3種以上混在。 ・離席時の内部の者による覗き 見。 10% 5 0.5 1 1.5 ・強度の低いパスワード(短い・単純、予 測可能)の解析 1 b ・パスワードは8文字以上、英 ・ソーシャルエンジニアリングに 大文字・英小文字・数字・記号 よるパスワード漏えい。 の内3種以上混在。 ・離席時の内部の者による覗き 見。 10% 5 0.5 1 1.5 ・管理されていないパスワード(デフォル ト、テスト用等)の利用 1 c ・CyberArc DNAによる不要な アカウントの残留チェック。 20% 5 1 2 3 ・拾得・盗んだ認証デバイス(IDカード等) の利用 1 d N/A 0% 5 0 0 0 ・権限者から聞き出した(偶然、騙して、 脅迫)パスワードの利用 1 e ・パスワード厳格保護のルール ・属人的であり徹底できない可 徹底。 能性。 20% 5 1 2 3 ・他サイトで入手したID/パスワードの流 用 1 f ・業務用とプライベート用のパ スワードの使い分け。 20% 5 1 2 3 ・システム上に保存されたパスワードの 窃取。 0.3 g ・保存パスワードのハッシュ化 ・侵入をリアルタイム検知でき 等による秘匿。 ない可能性。 ・ファイアウォールによるシステ ムへのアクセス制限。 ・ログ解析による侵入の検知。 20% 5 0.3 0.6 0.9 ・通信経路上のパスワードの盗聴 0.3 h ・スイッチングによるトラフィック ・権限者によるミラーポートの の分離。 悪用。 20% 5 0.3 0.6 0.9 ・事前に侵入して得たあるいはマルウェ アで流出させたパスワードの利用(ハッ シュ化されたパスワードの解析、passthe-hashの悪用) 0.3 i ・OS、アプリケーション等の自 ・ゼロデイ攻撃。 動アップデート。 ・侵入をリアルタイム検知でき ・ログ解析による侵入の検知。 ない可能性。 20% 5 0.3 0.6 0.9 ・認可された者にアクセスさせる(嘘の指 示、脅迫) 0.3 j ・作業承認手続きの実施。 ・作業内容のダブルチェック。 40% 10 1.2 2.4 3.6 2/2 ・チェック実施まで不要なアカウ ントが存在する可能性。 ・属人的であり徹底できない可 能性。 ・承認手続きの不備・不足。 ・チエック手順の不備。不足
© Copyright 2024 ExpyDoc
