講演抄録/キーワード |
講演名 |
2021-01-18 15:50
[招待講演]サイバーセキュリティにおけるリスク分析の手法と実態 ○園田健太郎・中島春香(NEC) IN2020-49 |
抄録 |
(和) |
企業におけるリスクとはビジネスリスクのことであり,重要なビジネスリスクのひとつとしてサイバーセキュリティ(サイバー攻撃)は位置づけられる.サイバーセキュリティにおけるリスク(の高さ)は,脆弱性や脅威情報等から分析,評価することが一般的である.例えば,脆弱性の評価手法としては,共通脆弱性評価システムCVSS(Common Vulnerability Scoring System)が有名である.しかしながら,これらの評価手法では多数ある評価項目の総合判定によって脆弱性の深刻度を算出する方法が多い.したがって,評価者がビジネス環境の特性を踏まえて判定したリスクの高さと乖離が生じることがある.
そこで我々は,リスクに対して影響度と攻撃容易性の二種類の評価基準を定義している.影響度は,従来手法を元にしたビジネスに与える影響度である.攻撃容易性は,アクター(攻撃者)視点での攻撃環境や条件を反映した攻撃成立の可能性である.この評価基準を用いて脆弱性診断やペネトレーションテストを通じた評価を実施した.その結果,診断対象システムの構成や攻撃手法や過去のセキュリティ事故の教訓を踏まえ,ビジネス環境に則した形で対策の優先度を決定できた等の効果があった.一方で,現状ではビジネスにおける機密性・完全性・可用性の重視の度合に基づく重み付けの判断基準が定性的な表現に留まっているため,評価結果が評価者に依存するという課題が判明した.より正確な評価を行うためには,定量的な重み付けの定義が必要である.今後,このような課題の解決を通じて評価の最適化に取り組んでいく. |
(英) |
Risks in corporations mean business risks, and a cyber security (cyber attack) is positioned as one of the important business risks. Risks in cyber security are generally analyzed and evaluated based on vulnerabilities and threats information. For example, Common Vulnerability Scoring System (CVSS) is popular as a vulnerability evaluation method. However, existing methods, including CVSS, calculate the severity of vulnerability by comprehensively judging a large number of evaluation items. Therefore, there can be differences between risk values calculated by these methods and judged by evaluators (penetration testers) who consider the characteristics of the business environment.
Thus, we defined two types of evaluation criteria on a risk: the impact and the exploitability. The former is the degree of influence on the business based on the existing methods. The latter is the possibility of successful attacks that is reflected on the environment and conditions of the attacks from the perspective of attackers. We conducted evaluations through vulnerability assessments and penetration tests using our criteria. As a result, it worked for the evaluators to determine the priority of countermeasures in accordance with the business environment based on some factors such as the configuration of the system, the possible attack methods and the lessons learned from past security accidents. On the other hand, we found an issue that the result of judgements depends on the evaluators because the criteria for weighting the importance measure of CIA (Confidentiality, Integrity and Availability) on the business are only qualitative at present. In order to make a more accurate evaluation, we need more quantitative criteria. In the future, we will work on optimizing the evaluation by solving such a problem. |
キーワード |
(和) |
サイバーセキュリティ / リスク分析 / CVSS / 脆弱性診断 / ペネトレーションテスト / / / |
(英) |
Cyber Security / Risk Analysis / CVSS / Vulnerability Assessment / Penetration Test / / / |
文献情報 |
信学技報, vol. 120, no. 311, IN2020-49, pp. 37-37, 2021年1月. |
資料番号 |
IN2020-49 |
発行日 |
2021-01-11 (IN) |
ISSN |
Online edition: ISSN 2432-6380 |
著作権に ついて |
技術研究報告に掲載された論文の著作権は電子情報通信学会に帰属します.(許諾番号:10GA0019/12GB0052/13GB0056/17GB0034/18GB0034) |
PDFダウンロード |
IN2020-49 |
研究会情報 |
研究会 |
IN |
開催期間 |
2021-01-18 - 2021-01-19 |
開催地(和) |
オンライン開催 |
開催地(英) |
Online |
テーマ(和) |
コンテンツ配信/流通、ソーシャルネットワーク(SNS)、データ分析・処理基盤、ビッグデータ及び一般 |
テーマ(英) |
Contents Distribution, Social Networking Services, Data Analytics and Processing Platform, Big data, etc. |
講演論文情報の詳細 |
申込み研究会 |
IN |
会議コード |
2021-01-IN |
本文の言語 |
日本語 |
タイトル(和) |
サイバーセキュリティにおけるリスク分析の手法と実態 |
サブタイトル(和) |
|
タイトル(英) |
Risk Analysis Methods and Actual Conditions in Cyber Security |
サブタイトル(英) |
|
キーワード(1)(和/英) |
サイバーセキュリティ / Cyber Security |
キーワード(2)(和/英) |
リスク分析 / Risk Analysis |
キーワード(3)(和/英) |
CVSS / CVSS |
キーワード(4)(和/英) |
脆弱性診断 / Vulnerability Assessment |
キーワード(5)(和/英) |
ペネトレーションテスト / Penetration Test |
キーワード(6)(和/英) |
/ |
キーワード(7)(和/英) |
/ |
キーワード(8)(和/英) |
/ |
第1著者 氏名(和/英/ヨミ) |
園田 健太郎 / Kentaro Sonoda / ソノダ ケンタロウ |
第1著者 所属(和/英) |
日本電気株式会社 (略称: NEC)
NEC Corporation (略称: NEC) |
第2著者 氏名(和/英/ヨミ) |
中島 春香 / Haruka Nakashima / ナカシマ ハルカ |
第2著者 所属(和/英) |
日本電気株式会社 (略称: NEC)
NEC Corporation (略称: NEC) |
第3著者 氏名(和/英/ヨミ) |
/ / |
第3著者 所属(和/英) |
(略称: )
(略称: ) |
第4著者 氏名(和/英/ヨミ) |
/ / |
第4著者 所属(和/英) |
(略称: )
(略称: ) |
第5著者 氏名(和/英/ヨミ) |
/ / |
第5著者 所属(和/英) |
(略称: )
(略称: ) |
第6著者 氏名(和/英/ヨミ) |
/ / |
第6著者 所属(和/英) |
(略称: )
(略称: ) |
第7著者 氏名(和/英/ヨミ) |
/ / |
第7著者 所属(和/英) |
(略称: )
(略称: ) |
第8著者 氏名(和/英/ヨミ) |
/ / |
第8著者 所属(和/英) |
(略称: )
(略称: ) |
第9著者 氏名(和/英/ヨミ) |
/ / |
第9著者 所属(和/英) |
(略称: )
(略称: ) |
第10著者 氏名(和/英/ヨミ) |
/ / |
第10著者 所属(和/英) |
(略称: )
(略称: ) |
第11著者 氏名(和/英/ヨミ) |
/ / |
第11著者 所属(和/英) |
(略称: )
(略称: ) |
第12著者 氏名(和/英/ヨミ) |
/ / |
第12著者 所属(和/英) |
(略称: )
(略称: ) |
第13著者 氏名(和/英/ヨミ) |
/ / |
第13著者 所属(和/英) |
(略称: )
(略称: ) |
第14著者 氏名(和/英/ヨミ) |
/ / |
第14著者 所属(和/英) |
(略称: )
(略称: ) |
第15著者 氏名(和/英/ヨミ) |
/ / |
第15著者 所属(和/英) |
(略称: )
(略称: ) |
第16著者 氏名(和/英/ヨミ) |
/ / |
第16著者 所属(和/英) |
(略称: )
(略称: ) |
第17著者 氏名(和/英/ヨミ) |
/ / |
第17著者 所属(和/英) |
(略称: )
(略称: ) |
第18著者 氏名(和/英/ヨミ) |
/ / |
第18著者 所属(和/英) |
(略称: )
(略称: ) |
第19著者 氏名(和/英/ヨミ) |
/ / |
第19著者 所属(和/英) |
(略称: )
(略称: ) |
第20著者 氏名(和/英/ヨミ) |
/ / |
第20著者 所属(和/英) |
(略称: )
(略称: ) |
講演者 |
第1著者 |
発表日時 |
2021-01-18 15:50:00 |
発表時間 |
50分 |
申込先研究会 |
IN |
資料番号 |
IN2020-49 |
巻番号(vol) |
vol.120 |
号番号(no) |
no.311 |
ページ範囲 |
p.37 |
ページ数 |
1 |
発行日 |
2021-01-11 (IN) |
|