通商産業省委託事業通商産業省委託事業通商産業省委託事業通商産業省委託事業

「ネットワーク「ネットワーク「ネットワーク「ネットワーク・システムの安全性検証実験計画策定・システムの安全性検証実験計画策定・システムの安全性検証実験計画策定・システムの安全性検証実験計画策定

および実験実施および実験実施および実験実施および実験実施・評価における方法論作成」・評価における方法論作成」・評価における方法論作成」・評価における方法論作成」

サンプルネットワークでの具体例資料サンプルネットワークでの具体例資料サンプルネットワークでの具体例資料サンプルネットワークでの具体例資料

平成平成平成平成 12121212 年年年年 3333 月月月月

情報処理振興事業協会情報処理振興事業協会情報処理振興事業協会情報処理振興事業協会

サンプルネットワークでの具体例資料

＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿

目　　　　　　　　　　　　　　次

1. 本書の目的と使用方法.................................................. 1

2. 統合アタック安全性検証での具体的記述例................................ 2

2.1 サンプルネットワークの想定......................................... 2

2.1.1 サンプルネットワークの概要 .................................... 2

2.1.2 サンプルネットワークの構成 .................................... 2

2.2 計画局面 .......................................................... 3

2.2.1 実験目的の設定方法 ............................................ 3

2.2.2 実験項目の展開 ................................................ 4

2.3 実施局面 .......................................................... 4

2.3.1 実験開始に当っての条件提示 .................................... 4

2.3.2 実施結果のまとめ .............................................. 4

2.4 評価局面 ......................................................... 20

2.4.1 対象ネットワーク・システムの脆弱性評価結果.................... 20

2.4.2 安全性評価方法 ............................................... 23

3. 分析アタック安全性検証での具体的記述例............................... 24

3.1 サンプルネットワークの想定........................................ 24

3.1.1 サンプルネットワークの概要 ................................... 24

3.1.2 サンプルネットワークの構成 ................................... 24

3.2 計画局面 ......................................................... 25

3.2.1 実験目的の設定方法 ........................................... 25

3.2.2 実験を構成する項目の設定方法.................................. 26

3.2.3 実験項目の展開方法 ........................................... 27

3.2.4 実験計画の策定方法 ........................................... 31

3.3 実施局面 ......................................................... 39

3.3.1 実験実施方法 ................................................. 39

3.3.2 実施結果のまとめ方 ........................................... 39

3.4 評価局面 ......................................................... 39

3.4.1 セキュリティ機能充足度評価基準の適用方法...................... 39

3.4.2 安全性評価方法 ............................................... 45

サンプルネットワークでの具体例資料

＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿1

1.1.1.1. 本書の目的と使用方法本書の目的と使用方法本書の目的と使用方法本書の目的と使用方法

本書は「ネットワーク・システムの安全性検証フレームワーク定義書」および「ネ

ットワーク・システムの安全性検証フレームワーク適用解説書」を受けて、具体的な

使用方法をサンプルネットワークを想定し、実際に適用した場合に、どのように実験

を計画し、実施・評価してゆくのかをまとめたものであり、実際の記述方法等の理解

促進に資するものである。

当フレームワークでは、統合アタック安全性検証フレームワークと分析アタック安

全性検証フレームワークの２種類のアタック方式が存在するが、本書では、それぞれ

について、サンプルとなるネットワークを想定し、具体例としてまとめたものである。

また、本書は単に結果のみを示すのでなく、「ネットワーク・システムの安全性検

証フレームワーク適用解説書」での、当フレームワーク適用の考え方を含めて記述し

ている。

ここでは、ソフトウェア製品等の脆弱性を指摘することが目的ではなく、実験の進

め方を説明することが目的であるため、記述に具体性を持つことは必要であるが、直

接的な製品名等の表示およびそれが持つ脆弱性の記述等は控えるものとする。

サンプルネットワークでの具体例資料

＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿2

2.2.2.2. 統合アタック安全性検証での具体的記述例統合アタック安全性検証での具体的記述例統合アタック安全性検証での具体的記述例統合アタック安全性検証での具体的記述例

2.12.12.12.1 サンプルネットワークの想定サンプルネットワークの想定サンプルネットワークの想定サンプルネットワークの想定

2.1.1 サンプルネットワークの概要

統合アタック安全性検証では、対象となるネットワークを１つの系として捉え、そ

の系の外部からアタックを行なうわけであるが、一般的に考えられるケースとして、

インターネット経由、電話回線（モデム接続）経由、専用線で結ばれている相手先企

業・機関経由などが挙げられる。

ここでは、最も一般的であると考えられるインターネット系のネットワーク・シス

テムを対象として、インターネット経由でアタックを行うことを想定する。

2.1.2 サンプルネットワークの構成

サンプルネットワークは、社内のネットワークを守るために、ファイアウォールを

配置し、ファイアウォールから社内ＬＡＮとは別セグメントであるＤＭＺ（非武装地

帯）上に、ＷＷＷサーバおよびメールサーバが配置してある。

また、ファイアウォールのインターネット側にルータが配置してある。

サンプルネットワークの構成は図2.1に示すとおりである。

なお、ＷＷＷサーバおよびメールサーバは、ＵＮＩＸ系システムを想定する。

図2.1　サンプルネットワークの全体構成

ファイアウォール

社内LANへ

ルータ

インターネット

アタッカ

ＷＷＷサーバ

メールサーバ

ＤＭＺ

サンプルネットワークでの具体例資料

＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿3

2.22.22.22.2 計画局面計画局面計画局面計画局面

2.2.1 実験目的の設定方法

統合アタック安全性検証実験は、対象とするネットワーク・システムに対してある

アタック力を持ったアタッカが、想定された侵入口より、どの程度、セキュリティを

侵害することができるか、つまり、あるアタック力を持って想定された侵入口から対

象とするシステムを見た場合の脆弱性を明かにすることである。

まず、実験を行うに当っては、“何”を“どんな脅威”から守るのかを明確にしな

ければならない。

“何”については、守るべき情報および、その情報が格納されている情報システム

機器を特定する必要がある。守るべき情報は、その情報が漏えい、改ざん、もしくは

使えなくなった時の、損害の大きさや影響範囲等を検討して定義する。また、情報が

格納された情報システム機器だけではなく、ネットワーク・システムの確実で安定し

たサービス提供の観点でも、守るべき情報システム機器を設定する必要がある。

今回は、社外に公開しているＷＷＷサーバおよび社外とのメールのやりとりを行う

メールサーバを第一義的に考えるが、これらのサーバを守る目的で設置されているフ

ァイアウォール、および、インターネットからのデータの流れを制御するルータも守

るべき情報システム機器とする。

次に、“どんな脅威”については、アタッカのアタック力と、そのアタックがどこ

から来るのかを設定する必要がある。

脅威は、内部からの脅威と外部からの脅威の２つに大きく分けられる。

ここでは、悪意を持った第三者が、対象とするネットワーク・システムに対して、

どれだけの被害を与えることができるかを検証することを実験目的として設定する。

従って、悪意を持った第三者とは、対象システムに関与しておらず、特殊技術保有

アタッカでもなく、特殊インターフェイス／ツールを保持しているわけではないこと

を意味していることから、アタック力は、「低」を設定する。

また、アタックがどこから来るのかを設定する必要がある。つまり、統合アタック

安全性検証実験では、対象とするネットワーク・システムを１つの系として捉えるた

め、前提として、その系に対してどこまで到達したのかを設定しておく。

ここでは、インターネット上からのアタックであると設定する。

つまり、対象システムに関係のない者がインターネット経由で、ホームページ情報

サンプルネットワークでの具体例資料

＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿4

の改ざんやサービス妨害などを行うことを、主な脅威と想定したものである。

2.2.2 実験項目の展開

実験は、前提となるアタック力、アタッカの侵入口ごとに、システム構成要素とア

タックパターンの組合せマトリックスの各セルが実験項目となる。つまり、各システ

ム構成要素に対して、５つのアタックパターンを使ってアタックすることが実験項目

として展開される。

今回対象とするネットワーク・システムでの実験項目展開結果を表2.1に示す。

表2.1　実験項目展開表　（アタック力：低、侵入口：インターネット）　　　ｱﾀｯｸﾊﾟﾀｰﾝ

ｼｽﾃﾑ構成要素

ネットワーク構成情報取得

脆弱性の探査システム構成要素への侵入

システム破壊・妨害

システム停止・不正操作

ﾙｰﾀ ○ ○ ○ ○ ○ﾌｧｲｱｳｫｰﾙ ○ ○ ○ ○ ○WWW ｻｰﾊﾞ ○ ○ ○ ○ ○ﾒｰﾙｻｰﾊﾞ ○ ○ ○ ○ ○

2.32.32.32.3 実施局面実施局面実施局面実施局面

2.3.1 実験開始に当っての条件提示

統合アタックでは、対象システムの存在場所、つまり、アタックのきっかけをアタ

ッカ提示する必要がある。

今回のシステムの場合は、ＷＷＷサーバが持つホームページのＵＲＬ（ホスト名）

情報をアタッカに提示することにより、アタッカは、この情報をもとにＩＰアドレス

を探索し、アタックを開始することになる。

2.3.2 実施結果のまとめ

実験実施結果の具体的な記述例を、アタックパターン毎のフォームを利用してとり

まとめる。

（1） パターン１：ネットワーク構成情報取得

アタッカが侵入口であるインターネットを通して、対象とするネットワーク・シス

テムをどのように捉えているのか、どんな情報が収集できたのかを３つの図表を使っ

てまとめる。ここでは、アタッカが情報収集した結果、確定できた情報および確定ま

でには至らなくとも、推定として言える情報を記述する。

図2.2は、対象とするネットワーク・システム内に存在するシステム構成要素をど

サンプルネットワークでの具体例資料

＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿5

の程度把握できたのかを示す一覧表である。

今回のアタックでは、対象システムの全システム構成要素が捉えられたことを示し

ている。

なお、実際には、ＯＳの名称（製品名）、バージョン名、ＩＰアドレス、ホスト名

等はアタッカがアタックにより得た情報を基に、詳細に記述する。

図2.3は、それをネットワーク構成として図示したものである。

図2.4は、システム構成要素ごとにどのようなポートやサービスを提供しているの

かを示したものである。ここでは、ファイアウォールの例を示した。

サンプルネットワークでの具体例資料

＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿6

記記記記号号号号アドレスアドレスアドレスアドレス(IP(IP(IP(IP等等等等)))) 発見された機器発見された機器発見された機器発見された機器 ＯＳの名称ＯＳの名称ＯＳの名称ＯＳの名称 ＯＳのＯＳのＯＳのＯＳの

バージョンバージョンバージョンバージョンホスト名ホスト名ホスト名ホスト名

A xxx.xxx.xxx.01 ルータ Cisco x.x

B xxx.xxx.xxx.02 ファイアウォール WindowsNT x.x www.xxx.co.jp

C xxx.xxx.xxx.03 ＷＷＷサーバ UNIX x.x

D xxx.xxx.xxx.04 メールサーバ UNIX x.x

E

F ・ ＯＳの名称、バージョンは、アタッカが攻撃により知り得た情報を基に推測できた範囲で記述する

図2．2　ネットワーク構成情報一覧

図2．3　ネットワーク構成図

Internet

ルータ(CISCO)xxx.xxx.xxx.01

ファイアウォール(Windows NT)www.xxx.co.jpxxx.xxx.xxx.02

WWWｻｰﾊﾞ(UNIX)xxx.xxx.xxx.03

ﾒｰﾙｻｰﾊﾞ(UNIX)xxx.xxx.xxx.04

サンプルネットワークでの具体例資料

＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿7

記記記記号号号号

アドレスアドレスアドレスアドレス(IP(IP(IP(IP等等等等))))

発見され発見され発見され発見された機器た機器た機器た機器

ＯＳの名称ＯＳの名称ＯＳの名称ＯＳの名称 ＯＳのバーＯＳのバーＯＳのバーＯＳのバージョンジョンジョンジョン

ホスト名ホスト名ホスト名ホスト名 備考備考備考備考

B xxx.xxx.xxx.02

ファイアウォール

Windows NT x.x www.xxx.co.jp

オープンされているポートオープンされているポートオープンされているポートオープンされているポート・サービス・サービス・サービス・サービス番番番番号号号号 ポート番号ポート番号ポート番号ポート番号 ポートのポートのポートのポートの

種類種類種類種類サービス情報サービス情報サービス情報サービス情報

1 21 ftp ファイアウォールの内側にあるサーバへのftp接続を許可している

2 23 telnet ファイアウォールの内側にあるサーバへのtelnet接続を許可している

3 25 smtp

4 53 domain

5 80 httpd

6

7

8

9

10

11

12

13

14

15

その他発見された構成要素についても、同様にまとめる

図2．4　構成要素毎ポート・サービス情報

サンプルネットワークでの具体例資料

＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿8

（2） パターン２：脆弱性の探査

発見できたシステム構成要素に対して実施した脆弱性探査の結果を２つの図表を使

ってまとめる。この情報は主にツールを使って出力される結果を基に記述する。

図2.5は、システム構成要素に内在する脆弱性を示す一覧表である。

図2.6は、発見された脆弱性ごとに、その内容や一般的な対策を示したものである。

記記記記号号号号アドレスアドレスアドレスアドレス(IP(IP(IP(IP等等等等)))) 発見された機器発見された機器発見された機器発見された機器 OSOSOSOSの名称の名称の名称の名称 脆弱数脆弱数脆弱数脆弱数 脆弱性脆弱性脆弱性脆弱性

高高高高 中中中中 低低低低

A xxx.xxx.xxx.01 ルータ Cisco 1 Finger Service

B xxx.xxx.xxx.02 ファイアウォール

WindowsNT 1 DNS zone transfer

C xxx.xxx.xxx.03 ＷＷＷサーバ UNIX 1 admindのｾｷｭﾘﾃｨﾎｰﾙ

D xxx.xxx.xxx.04 メールサーバ UNIX 2 脆弱なﾊﾟｽﾜｰﾄﾞの特権ｱｶｳﾝﾄ

admindのｾｷｭﾘﾃｨﾎｰﾙ

図２．5　脆弱性一覧

サンプルネットワークでの具体例資料

＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿9

脆弱性脆弱性脆弱性脆弱性 レベルレベルレベルレベル

DNS honors zone transfer requests 中

当該脆弱性を有するアドレス当該脆弱性を有するアドレス当該脆弱性を有するアドレス当該脆弱性を有するアドレス(IP(IP(IP(IP等等等等)))) 脆弱性の内容脆弱性の内容脆弱性の内容脆弱性の内容

記号記号記号記号 アドレスアドレスアドレスアドレス(IP(IP(IP(IP等等等等)))) 発見された機器発見された機器発見された機器発見された機器 ＯＳの名称ＯＳの名称ＯＳの名称ＯＳの名称

B xxx.xxx.xxx.02 ファイアウォール Windows NT DNS serverからゾーン転送を行うことが出来ます。

想定される危険性想定される危険性想定される危険性想定される危険性 脆弱性への対策脆弱性への対策脆弱性への対策脆弱性への対策

ゾーン転送は、DNS serverに登録されている全ての DNS server configurationの変更マシンを確認し、アタック者にネットワーク構成を推測させてしまいます。

その他発見された脆弱性についても、同様にまとめる

図2．6　脆弱性毎詳細情報

サンプルネットワークでの具体例資料

＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿10

（3） パターン３：システム構成要素への侵入

発見できたシステム構成要素に対して、侵入を試行した結果を３つの図表を使って

まとめる。ここでは、侵入に成功した場合のみならず、失敗した場合についても、何

故失敗したのかを含め記述する。

図2.7は、侵入結果一覧として、発見されたシステム構成要素に対して侵入を試行

した結果どうだったのかを一覧表としてまとめる。

図2.8は、システム構成要素ごとに、侵入結果の詳細を、侵入経路や手順等含めま

とめたものである。ここでは、ＷＷＷサーバのケース番号②として、間接アタックの

結果侵入できた場合を記述する。

図2.9は、侵入に際して、何らかのかたちで収集できたユーザ情報をシステム構成

要素ごとにまとめたものである。ここでは、メールサーバに存在する脆弱なユーザ情

報を記述する。

サンプルネットワークでの具体例資料

＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿11

記記記記号号号号アドレスアドレスアドレスアドレス(IP(IP(IP(IP等等等等))))

発見された発見された発見された発見された機器機器機器機器

ホスト名ホスト名ホスト名ホスト名

ケケケケーーーースススス番番番番号号号号

使用した使用した使用した使用した脆弱性脆弱性脆弱性脆弱性

侵侵侵侵入入入入結結結結果果果果

侵入手口の概要侵入手口の概要侵入手口の概要侵入手口の概要

① FingerService

NG ﾘﾓｰﾄよりFingerｺﾏﾝﾄﾞを実行し情報を取得する。

A xxx.xxx.xxx.01 ルータ ② TelnetService

NG Telnetｻｰﾋﾞｽを利用しルータへの侵入を試みる。

③

① DNS zonetransfer

- DNSに登録されているﾈｯﾄﾜｰｸ構成情報を取得する。

B xxx.xxx.xxx.02 ファイアウォール

www.xxx.co.jp ② NG 侵入手口なし。

③

① NG 直接アタックとしては、侵入手口なし。

C xxx.xxx.xxx.03 ＷＷＷサーバ

② admindのｾｷｭﾘﾃｨﾎｰﾙ

OK ﾒｰﾙｻｰﾊﾞを踏み台にして、admindのｾｷｭﾘﾃｨﾎｰﾙを利用して特権権限を取得し、侵入を試みる。

③

① 脆弱なﾊﾟｽﾜｰﾄﾞの特権ｱｶｳﾝﾄ

OK 脆弱なﾊﾟｽﾜｰﾄﾞを持つ特権ｱｶｳﾝﾄ情報を発見し、FTPで侵入を試みる。

D xxx.xxx.xxx.04 メールサーバ

②

③

①

E ②

③

図2. 7　侵入結果一覧

サンプルネットワークでの具体例資料

＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿12

記号記号記号記号 アドレスアドレスアドレスアドレス(IP(IP(IP(IP等等等等)))) ケーケーケーケース番ス番ス番ス番号号号号

使用した脆弱性使用した脆弱性使用した脆弱性使用した脆弱性

C xxx.xxx.xxx.03 ② admindのｾｷｭﾘﾃｨﾎｰﾙ

侵入経路の図解侵入経路の図解侵入経路の図解侵入経路の図解 侵入手順と使用した情報侵入手順と使用した情報侵入手順と使用した情報侵入手順と使用した情報（途中段階で得た脆（途中段階で得た脆（途中段階で得た脆（途中段階で得た脆弱性情報含む）の説明弱性情報含む）の説明弱性情報含む）の説明弱性情報含む）の説明侵入手順 取得/使用した情報（脆

弱性）手順１：ｱﾀｯｸﾏｼﾝから､ﾒｰﾙｻｰﾊ ﾞにFTPで侵入する。

・ﾒｰﾙｻｰﾊﾞの特権ｱｶｳﾝﾄ

手順２：WWWｻｰﾊﾞへの侵入に際して、admindのｾｷｭﾘﾃｨﾎｰﾙを利用してWWWｻｰﾊﾞの特権権限を取得する。

・WWWｻｰﾊﾞ上のadmindのｾｷｭﾘﾃｨﾎｰﾙ

手順３：

手順４：

手順５：

注）侵入の結果得られた情報は証拠資料として別紙にまとめること

その他の侵入結果についても、同様にまとめる

図2. 8　構成要素毎侵入結果詳細情報

ｱﾀｯｸﾏｼﾝ

インターネットインターネットインターネットインターネット

ルータ

ファイアウォール

メールサーバ

ＷＷＷサーバ

サンプルネットワークでの具体例資料

＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿13

記記記記号号号号アドレスアドレスアドレスアドレス(IP(IP(IP(IP等等等等)))) 発見された機器発見された機器発見された機器発見された機器 ＯＳの名称ＯＳの名称ＯＳの名称ＯＳの名称 ＯＳのバージョンＯＳのバージョンＯＳのバージョンＯＳのバージョン ホスト名ホスト名ホスト名ホスト名 備考備考備考備考

D xxx.xxx.xxx.04 メールサーバ UNIX x.x

番番番番号号号号

ユーザ情報ユーザ情報ユーザ情報ユーザ情報 備考備考備考備考

ユーザＩＤユーザＩＤユーザＩＤユーザＩＤ パスワードパスワードパスワードパスワード

1 root root 容易に推測可能

2

3

4

5

6

7

8

9

10

11

12

13

14

15

図2．9　構成要素毎ユーザ情報

サンプルネットワークでの具体例資料

＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿14

（4） パターン４：システム破壊・妨害

発見できたシステム構成要素に対して、システム破壊・妨害を試行した結果を２つ

の図表を使ってまとめる。ここでは、破壊・妨害に成功した場合のみならず、失敗し

た場合についても、何故失敗したのかを含め記述する。

図 2.10 は、システム破壊・妨害結果一覧として、発見されたシステム構成要素に

対して破壊・妨害を試行した結果どうだったのかを一覧表としてまとめる。

図 2.11 は、システム構成要素ごとに、破壊・妨害結果の詳細を、その方法や手順

等含めまとめたものである。

サンプルネットワークでの具体例資料

＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿15

記記記記号号号号アドレスアドレスアドレスアドレス(IP(IP(IP(IP等等等等)))) 発見され発見され発見され発見され

た機器た機器た機器た機器ホスト名ホスト名ホスト名ホスト名 ケケケケ

ーーーースススス番番番番号号号号

破破破破壊壊壊壊・・・・妨妨妨妨害害害害区区区区分分分分

使用した脆弱性使用した脆弱性使用した脆弱性使用した脆弱性 結結結結果果果果のののの概概概概要要要要

破壊破壊破壊破壊・妨害手口の・妨害手口の・妨害手口の・妨害手口の概要概要概要概要

A xxx.xxx.xxx.01 ルータ ① 妨害syn flood attack NG 大量のSynﾊﾟｹｯﾄを

送信し、使用不能にする

② 妨害land attack NG Synﾊﾟｹ ｯﾄの発信

元・送信先を同一に偽造し送信し、使用不能にする

B xxx.xxx.xxx.02 ファイアウォール

www.xxx.co.jp ① 妨害syn flood attack NG 大量のSynﾊﾟｹｯﾄを

送信し、使用不能にする

② 妨害smurf attack NG ICMPｴｺｰ応答ﾊﾟｹｯﾄ

を発生させてﾈｯﾄﾜｰｸを使用不能にする

C xxx.xxx.xxx.03 ＷＷＷサーバ

① 妨害syn flood attack OK 大量のSynﾊﾟｹｯﾄを

送信し、使用不能にする

② 妨害teardrop attack NG 不正なﾌﾗｸﾞﾒﾝﾄﾊﾟｹｯ

ﾄを送信し、使用不能にする

D xxx.xxx.xxx.04 メールサーバ

① 妨害icmp bomb attack NG 大量のICMPﾊﾟｹｯﾄを

送信しﾈｯﾄﾜｰｸを使用不能にする

② 妨害teardrop attack NG 不正なﾌﾗｸﾞﾒﾝﾄﾊﾟｹｯ

ﾄを送信し、使用不能にする

図2. 10　破壊・妨害結果一覧

サンプルネットワークでの具体例資料

＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿16

記号記号記号記号 アドレスアドレスアドレスアドレス(IP(IP(IP(IP等等等等)))) ケ ーケ ーケ ーケ ース 番ス 番ス 番ス 番号号号号

使用した脆弱性使用した脆弱性使用した脆弱性使用した脆弱性

B xxx.xxx.xxx.02 ① syn flood attack

破壊破壊破壊破壊・妨害方法の図解・妨害方法の図解・妨害方法の図解・妨害方法の図解 破壊破壊破壊破壊・妨害手順と内容の説明・妨害手順と内容の説明・妨害手順と内容の説明・妨害手順と内容の説明破壊・妨害手順 破壊・妨害内

容（結果として何ができたか）

手順１：ｱﾀｯｸﾏｼﾝよりから、ﾙｰﾀを経由し、ﾌｧｲｱｳｫｰﾙに対し、大量のSynﾊﾟｹｯﾄを送信し使用不能となるか試みる。

・結果として使用不能にできなかった。

手順２：

手順３：

手順４：

手順５：

注）破壊・妨害結果を示す情報は証拠資料として別紙にまとめること

その他の破壊・妨害アタックについても、同様にまとめる

図2. 11　構成要素毎破壊・妨害結果詳細情報

ｱﾀｯｸﾏｼﾝ

ﾘﾓｰﾄより不正ﾊﾟｹｯﾄを送信

インターネットインターネットインターネットインターネット

ルータ

ファイアウォール

サンプルネットワークでの具体例資料

＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿17

（5） パターン５：システム停止・不正操作

発見でき、かつ、侵入できたシステム構成要素に対して、システム停止・不正操作

を試行した結果を２つの図表を使ってまとめる。ここでは、システム停止・不正操作

に成功した場合のみならず、失敗した場合についても、何故失敗したのかを含め記述

する。

図 2.12 は、システム停止・不正操作結果一覧として、システム構成要素に対して

システム停止・不正操作を試行した結果どうだったのかを一覧表としてまとめる。

図 2.13 は、システム構成要素ごとに、システム停止・不正操作結果の詳細を、そ

の方法や手順等含めまとめたものである。

サンプルネットワークでの具体例資料

＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿18

記記記記号号号号アドレスアドレスアドレスアドレス(IP(IP(IP(IP等等等等)))) 発見された発見された発見された発見された

機器機器機器機器ホスト名ホスト名ホスト名ホスト名 ケケケケ

ーーーースススス番番番番号号号号

停止･停止･停止･停止･不正操不正操不正操不正操作区分作区分作区分作区分

使用した使用した使用した使用した脆弱性脆弱性脆弱性脆弱性

結結結結果果果果のののの概概概概要要要要

停止停止停止停止・不正操作手口・不正操作手口・不正操作手口・不正操作手口の概要の概要の概要の概要

A xxx.xxx.xxx.01 ルータ ①停止・不正操作

　 NG ﾙｰﾀへ侵入できなかったため、内部からのアタックができなかった

②

B xxx.xxx.xxx.02 ファイアウォール

www.xxx.co.jp ① 停止・不正操作

　 NG ﾌｧｲｱｳｫｰﾙへ侵入できなかったため、内部からのアタックができなかった

②

C xxx.xxx.xxx.03 ＷＷＷサーバ

　 ①不正操作

phfattack

NG WWWｻｰﾊﾞのﾊﾟｽﾜｰﾄﾞﾌｧｲﾙを表示させる

②停止・不正操作

admindのｾｷｭﾘﾃｨﾎｰﾙ

OK ﾒｰﾙｻｰﾊﾞでのｺﾝｿｰﾙｱｸｾｽおよびWWWｻｰﾊﾞの特権権限を利用して、内部からのアタックを行う

D xxx.xxx.xxx.04 メールサーバ

　 ①停止・不正操作

脆弱なﾊﾟｽﾜｰﾄﾞの特権ｱｶｳﾝﾄ

OK ﾒｰﾙｻｰﾊﾞでのｺﾝｿｰﾙｱｸｾｽおよびﾒｰﾙｻｰﾊﾞの特権ｱｶｳﾝﾄを利用して、内部からのアタックを行う

②

図2. 12　停止・不正操作結果一覧

サンプルネットワークでの具体例資料

＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿19

記号記号記号記号 アドレスアドレスアドレスアドレス(IP(IP(IP(IP等等等等)))) ケースケースケースケース番号番号番号番号

使用した脆弱性使用した脆弱性使用した脆弱性使用した脆弱性

D xxx.xxx.xxx.04 ① 脆弱なﾊﾟｽﾜｰﾄﾞの特権ｱｶｳﾝﾄ

停止停止停止停止・不正操作方法の図解・不正操作方法の図解・不正操作方法の図解・不正操作方法の図解 停止停止停止停止・不正操作手順と内容の説明・不正操作手順と内容の説明・不正操作手順と内容の説明・不正操作手順と内容の説明停止・不正操作手順 停止・不正操作内容

（結果として何ができたか）

手順１：　ｱﾀｯｸﾏｼﾝから､ﾒｰﾙｻｰﾊﾞにFTPで侵入する。

　

手順２：　ﾒｰﾙｻｰﾊﾞ上で、CGIｽｸﾘﾌﾟﾄにｺﾏﾝﾄﾞを埋め込み、逆向きのｾｯｼｮﾝを張る。

・ｱﾀｯｸﾏｼﾝよりｺﾝｿｰﾙｱｸｾｽが可能となった

手順３：　特権ｱｶｳﾝﾄを使用し、ｺﾝｿｰﾙｱｸｾｽによりﾒｰﾙｻｰﾊﾞ内をアタックする。

・特権権限により、全ての操作が可能となった

手順４：

手順５：

注）停止・不正操作結果を示す情報は証拠資料として別紙にまとめること

その他の停止・不正操作結果についても、同様にまとめる

図2. 13　構成要素毎停止・不正操作結果詳細情報

ｱﾀｯｸﾏｼﾝ

インターネットインターネットインターネットインターネット

ルータ

ファイアウォール

メールサーバＷＷＷサーバ

サンプルネットワークでの具体例資料

＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿20

2.42.42.42.4 評価局面評価局面評価局面評価局面

2.4.1 対象ネットワーク・システムの脆弱性評価結果

「2.3　実施局面」での結果まとめを基に、各システム構成要素ごとの脆弱性評価

結果は、表2.2のとおりとなる。

表2.2　システム構成要素ごとの脆弱性評価結果脆弱性評価システム

構成要素 直接ｱﾀｯｸ 間接ｱﾀｯｸ評価根拠

ルータ b - 侵入は許していないが、脆弱性“低”が存在する。ファイアウォール

c - 侵入は許していないが、脆弱性“中”が存在する。

ＷＷＷサーバ a e

図2.5で脆弱性“高”が存在しているが、これは直接アタックの際には使用できないものであるため、直接アタックの結果としては“a”であるが、間接アタックでは、この脆弱性が利用され侵入を許したため、“e”となった。

メールサーバ e - 脆弱な特権アカウントにより、侵入を許した。

参考として、図2.14、図2.15、図2.16に評価基準表を示す。

a 防御が強固である• 侵入等なし、および脆弱性なし

侵入も許さず、攻撃による使用不可にもならなかった。 または、脆弱性も一切なかった。

bリスクの低い脆弱性が残されてはいるが強固である

• 脆弱性（Ｌｏｗ） 構成要素の一部に攻撃するための助けとなる情報を与えた。 または、直接的ではないが、間接的に攻撃や侵入の助けとなり得る情報　 を与えた。

cリスクが中程度の脆弱性があり強固ではない

• 脆弱性（Ｍｅｄｉｕｍ） 直接的攻撃に関係が小さいファイルの取得／改ざんや、構成要素の一部に影響がある不正な実行を許す可能性がある情報を与えた。

または、一般のユーザＩＤの登録や取得、及び一般権限による実行を許す可能性を与えた。

または、攻撃により性能ダウン等部分的な影響が出る可能性を与えた。 または、構成要素全体に攻撃するための助けとなり得る情報を与えた。

dリスクの高い脆弱性があり強固ではない

• 脆弱性（Ｈｉｇｈ） 直接的攻撃に影響の大きいファイルの取得/改ざんや、構成要素全体に影響がある不正な実行を許す可能性を与えた。

または、特権権限(root 等)のユーザ ID の登録や取得、及び特権権限による実行を許す可能性を与えた。

または、攻撃により構成要素全体の使用不可につながる可能性を与えた。

e攻撃による被害を受け防御が貧弱である

• 侵入を許す、又は攻撃による妨害が発生した。 情報取得／改ざん／なりすまし等を許したり、攻撃による使用不可が

起

サンプルネットワークでの具体例資料

＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿21

　　きた。

図2.14　直接アタック用脆弱性評価基準

a 防御が強固である• 踏み台にターゲットとする構成要素の存在を示す情報や攻撃のヒント　　となる情報を発見できなかった。

bリスクの低い脆弱性が残されてはいるが強固である

• 脆弱性（Ｌｏｗ） 踏み台にターゲットとする構成要素の存在を示す情報を発見することができた。ただし、発見した情報は攻撃のヒントまでになり得なかった。

cリスクが中程度の脆弱性があり強固ではない

• 脆弱性（Ｍｅｄｉｕｍ） 踏み台にターゲットとする構成要素の存在を示す情報を発見することができた。

かつ、踏み台にターゲットとする構成要素に対する攻撃のヒントとなる情報を発見することができたが、攻撃できる環境になり得なかった。または、攻撃のヒントを利用して攻撃を行なったが影響を与えられなかった。

dリスクの高い脆弱性があり強固ではない

• 脆弱性（Ｈｉｇｈ） 踏み台にターゲットとする構成要素の存在を示す情報を発見することができた。

かつ、踏み台にターゲットとする構成要素に対する攻撃のヒントとなる情報を発見することができた。

かつ、攻撃のヒントを利用して踏み台にある構成要素情報の読取り等、比較的影響の小さい攻撃を行なうことができた。情報の改ざん等は行なうことができなかった。

e攻撃による被害を受け防御が貧弱である

• 踏み台にターゲットとする構成要素の存在を示す情報を発見すること　　ができた。• かつ、踏み台にターゲットとする構成要素に対する攻撃のヒントとなる　　情報を発見することができた。• かつ、攻撃のヒントを利用して、ターゲットとする構成要素における通　　信データの盗聴または情報の改ざん、なりすまし等を行なうことができ　　た。または、攻撃による使用不可を発生させることができた。

図2.15　間接アタック用脆弱性評価基準

a 防御が強固である• ネットワークそのものやネットワークに接続する構成要素を発見でき　　なかった。

bリスクの低い脆弱性が残されてはいるが強固である

• 脆弱性（Ｌｏｗ） ネットワークのプロトコルやネットワークに接続する構成要素の一部　　または全部に関する情報を発見できた。

cリスクが中程度の脆弱性があり強固ではない

• 脆弱性（Ｍｅｄｉｕｍ） ネットワークに一部のデータを流すことができた。またはネットワーク　　に流れるデータを読み取ることができた。

dリスクの高い脆弱性があり強固ではない

• 脆弱性（Ｈｉｇｈ） ネットワークにデータを自由に(ネットワークに流れる可能性のあるあ　　らゆる種類のパケット)流すことができた。

サンプルネットワークでの具体例資料

＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿22

e攻撃による被害を受け防御が貧弱である

• 妨害などによりネットワークを使用不可にできた。

図2.16　ネットワークへのアタック用脆弱性評価基準

サンプルネットワークでの具体例資料

＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿23

2.4.2 安全性評価方法

脆弱性評価では、システム構成要素個々に内在する脆弱性を評価してきたわけであ

るが、今後、どのシステム構成要素に対して対策を取るべきかを考える場合、脆弱性

に対して同じ優先度をもって対処するわけではない。つまり、同じ脆弱性を持つシス

テム構成要素があった場合に、そのシステム構成要素に格納された情報資産の価値に

よって、セキュリティを侵害された場合の影響度が違うこと、また、脅威の発生頻度

や一般的な被害の大きさの違いによっても、その脆弱性が持つ意味が違うことから、

脆弱性への対処の考え方も違ってくるのである。

従って、脆弱性評価結果に情報資産の価値や脅威の大きさを加味した安全性（リス

ク）評価を行い、この結果を今後の対策立案に繋げる必要がある。

情報資産の価値や脅威の大きさは、できるだけ数値化して脆弱性評価結果と突き合

わせて、これを安全性評価とし、どの脆弱性から対処すべきかを判断することが望ま

しいが、実際の数値化は難しいことから、次の方法をとることが現実的である。

各システム構成要素に対する情報資産の価値や脅威の大きさを３段階程度に分類し、

この区分と脆弱性評価結果の組合せを安全性（リスク）評価結果とし、対策の優先順

位を検討する際の基準とする。表2.3に安全性（リスク）評価の例として、それぞれ

の区分の点数を配分し、各点数を乗じることによって、安全性（リスク）評価とした。

この結果から判断すると、メールサーバが持つ脆弱性を第一優先順位として、対策

を講じる必要があることが分かる。次に、メールサーバの脆弱性への対応となる。

なお、実際の適用に当っては、点数配分については十分検討する必要がある。

表2.3　安全性（リスク）評価結果　例脆弱性評価結果

情報資産の価値

脅威の大きさ 安全性（リスク）評価点

ﾙｰﾀ ｂ(1) 高(3) 中(2) 6ﾌｧｲｱｳｫｰﾙ ｃ(2) 高(3) 大(3) 18WWW ｻｰﾊﾞ ｅ(4) 中(2) 大(3) 24ﾒｰﾙｻｰﾊﾞ ｅ(4) 高(3) 大(3) 36注）この表の場合、安全性（リスク）評価点は点数が大きいほど、リスクが大きい

ことを意味しており、対策実施の優先順位が高いことを示している。

点数配分：

脆弱性評価結果：ａ：0、ｂ：1、ｃ：2、ｄ：3、ｅ：4

情報資産の価値：高：3、中：2、低：1

脅威の大きさ：大：3、中：2、小：1

サンプルネットワークでの具体例資料

＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿24

3.3.3.3. 分析アタック安全性検証での具体的記述例分析アタック安全性検証での具体的記述例分析アタック安全性検証での具体的記述例分析アタック安全性検証での具体的記述例

3.13.13.13.1 サンプルネットワークの想定サンプルネットワークの想定サンプルネットワークの想定サンプルネットワークの想定

3.1.1 サンプルネットワークの概要

分析アタック安全性検証では、対象となるネットワーク・システムをデータフロー

に着目して、発信側、通信途中、受信側に分解し、その中でセキュリティ機能をどの

程度充足しているかを検証するものである。従って、データフローを形成するシステ

ム構成要素の組合せを１つの単位として、いくつの単位でも対応可能であるが、ここ

では、シンプルに考えることができるよう、３つのシステム構成要素で２つのデータ

フローを形成するネットワーク・システムを設定する。具体的なアプリケーションと

しては、商品の受注から配送手配、さらに顧客管理を想定する。

3.1.2 サンプルネットワークの構成

サンプルネットワークには、商品注文を受け付ける“受注サーバ”、受注情報を受

取り配送手配を行う“配送手配サーバ”、および配送手配後、売上を計上し、売掛処

理や顧客の購買履歴管理を行う“顧客管理サーバ”の３つのサーバを設定する。デー

タフローとしては、受注サーバから受注情報を配送手配サーバに送信するフローと配

送手配サーバから売上情報を顧客管理サーバに送信するフローの種類を想定する。

また、それぞれのサーバが保有する情報としては、受注サーバが商品、顧客、受注

情報、配送手配サーバが在庫、配送、請求書情報、顧客管理サーバが顧客購買履歴、

売掛、売上情報である。

サンプルネットワークの構成は図3.1に示すとおりである。

図3.1　サンプルネットワークの全体構成

受注処理

アタッカ

受注ｻｰﾊﾞ

顧客管理ｻｰﾊﾞ

配送手配ｻｰﾊﾞ

売上処理社内ＬＡＮ

注文入力

商品ﾋﾟｯｷﾝｸﾞ出荷指示

商品情報顧客情報受注情報

在庫情報配送情報請求書情報

購買履歴売掛情報売上情報

サンプルネットワークでの具体例資料

＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿25

3.23.23.23.2 計画局面計画局面計画局面計画局面

3.2.1 実験目的の設定方法

分析アタック安全性検証実験は、ネットワーク・システムがアタッカからのアタッ

クを受けた場合に、「システムのどの部分」の「どのセキュリティ要件に対応する機

能」がどの程度備わっているかを体系的、網羅的に調べて、それらの機能の充足度（セ

キュリティ機能充足度）がネットワーク・システム全体の安全性にどの程度影響を与

えるかを検証するものである。

統合アタック安全性検証実験と同様、実験を行うに当っては、“何”を“どんな脅

威”から守るのかを明確にしなければならない。

“何”については、守るべき情報および、その情報が格納されている情報システム

機器を特定する必要がある。守るべき情報は、その情報が漏えい、改ざん、もしくは

使えなくなった時の、損害の大きさや影響範囲等を検討して定義する。また、情報が

格納された情報システム機器だけではなく、ネットワーク・システムの確実で安定し

たサービス提供の観点でも、守るべき情報システム機器を設定する必要がある。

ここでの守るべき情報システム機器は、対象となるネットワーク・システムを構成

する次の機器が挙げられる。

・ 受注サーバ

・ 配送手配サーバ

・ 顧客管理サーバ

・ 社内ＬＡＮ

次に、“どんな脅威”については、統合アタック安全性検証実験が、アタッカのア

タック力と、そのアタックがどこから来るのかを設定する必要があるのに対して、分

析アタック安全性検証実験では、実験の性格上、実験対象物までの侵入経路に障壁が

ないこと、つまり、既に到達していることが前提であるため、アタックがどこから来

るのかは意識する必要はないが、脅威を想定する場合は、まず、アタック力を設定す

る必要があり、また、どのような脅威なのかを情報資産ごとに設定する必要がある。

ここでは、一般技術保有アタッカから見て当該システムが、どの程度のセキュリテ

ィ機能充足度を持っているのかを検証することを目的とすると、アタック力は「低」

を設定する。

また、脅威の想定は、各情報資産ごとには、後述のＴＲマトリックスにて設定する

こととするが、脅威の種類として、“盗聴・盗難”、“改ざん”、“なりすまし”、

“サービス妨害”、“ウィルス（破壊）”とする。

サンプルネットワークでの具体例資料

＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿26

3.2.2 実験を構成する項目の設定方法

分析アタック安全性検証フレームワークでは、実験実施に当って、その構成項目と

して、システム構成要素、データフローパターン、セキュリティ要件、守るべき情報

資産と想定される脅威、アタッカのアタック力の５項目を設定する必要がある。

システム構成要素は、前項で検討した守るべき情報システム機器とし、これを実験

対象する。

次に、データフローパターンを設定するわけであるが、ここが分析アタック安全性

検証フレームワークの「分析」たる所以の部分である。すなわち、守るべき情報は、

ある特定のシステム構成要素内にストックとして、留まっているだけではなく、別の

システム構成要素との間で情報のやりとり、フローがあることに着目して、情報の発

信側、通信途中、受信側のそれぞれのシステム構成要素で構成されるデータフローを

設定し、情報のストック部分だけではなく、フロー部分までを捉えることを可能とし

ている。

従って、実験においては、対象とするネットワーク・システム内での主要なデータ

フローパターンを設定する必要がある。

次に、セキュリティ要件であるが、これは、今回のフレームワークの中で定義して

いる、機密性、完全性、可用性、識別と認証、アクセス制御、否認防止の６つのセキ

ュリティ要件を使用するものとする。それぞれの要件の定義は次のとおりである。

• 機密性 (Confidentiality) ：情報が不正取得されない、または不正ア

クセスされても情報の内容がわからない

• 完全性 (Integrity)：情報が改ざんされない、または改ざんされても

検知できる

• 可用性 (Availability)：情報そのものおよびそれらを扱うシステムの

機能が必要なときにいつでも使える

• 識別と認証 (Identification and Authentication)：システムやネッ

トワークへのアクセスに先立ち、ユーザやプログラムが識別できそれが

本人もしくは本物であることが確認できる

• アクセス制御 (Access Control)：許可されたユーザやプログラムのみ

がシステムの資源を利用可能となるような制御が機能しており、システ

ム資源を不正なアクセスから保護できる

• 否認防止 (Non-repudiation)：メッセージの送信や受信の事実を否認

できない

サンプルネットワークでの具体例資料

＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿27

次に、守るべき情報資産と想定される脅威の設定についてであるが、統合アタック

安全性検証フレームワークが、想定した脅威をアタッカの侵入口の設定で代表して行

えるのに対して、分析アタック安全性検証フレームワークでは、守るべき情報資産を

各データフローパターンの発信側、通信途中、受信側のシステム構成要素で捉え、そ

れぞれ、例えば、あるデータフローパターンの発信側のシステム構成要素、に対して

の脅威を設定する必要がある。

3.2.3 実験項目の展開方法

（1） 実験項目展開の全体の流れ

前述の実験を構成する項目を用いて、実際の実験項目へ展開する流れを示すと図

3.2のとおりである。

図3.2　分析アタックの実験項目展開の流れ

以下に、図3.2中の各マトリックス作成要領を記述する。

① ＩＦマトリックス作成要領

まず、ＩＦマトリックスを作成する。このマトリックスは、守るべき情報をストッ

クとフローの観点から展開したもである。つまり、守るべき情報が、どのデータフ

ローで使用され、関与するシステム構成要素は何かを定義したものである。これで、

守るべき情報が何でどこを守る必要があるのかを明かにすることができる。

また、ネットワーク・システムの確実で安定したサービスの観点、特に、サービス

守守守守るるるるべべべべきききき情情情情報報報報

想想想想定定定定さささされれれれるるるる脅脅脅脅威威威威

データフローパターンデータフローパターンデータフローパターンデータフローパターン システム構成要素システム構成要素システム構成要素システム構成要素

セキュリティ要件セキュリティ要件セキュリティ要件セキュリティ要件

情報 フロー 発信 経路 受信

情報 脅威 セキュリティ要件

アタック力

アタック力

アタック力

アタック力

情報 脅威 セキュリティ要件フロー 構成要素

実験実験実験実験項目項目項目項目

ＩＦマトリックスＩＦマトリックスＩＦマトリックスＩＦマトリックス

ＴＲマトリックスＴＲマトリックスＴＲマトリックスＴＲマトリックス

ＦＲマトリックスＦＲマトリックスＦＲマトリックスＦＲマトリックス

実験実験実験実験実施実施実施実施単位単位単位単位

サンプルネットワークでの具体例資料

＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿28

妨害攻撃等から守るべきシステム構成要素についても、守る対象として押さえてお

くことが必要である。

図3.3に今回のシステムのＩＦマトリックスを示す。

データフロー情報

フロー名 発信側 通信途中 受信側

受注処理 受注ｻｰﾊﾞ 社内LAN 配送手配ｻｰﾊﾞ顧客情報

売上処理 配送手配ｻｰﾊﾞ 社内LAN 顧客管理ｻｰﾊﾞ

受注情報 受注処理 受注ｻｰﾊﾞ 社内LAN 配送手配ｻｰﾊﾞ

請求書情報 売上処理 配送手配ｻｰﾊﾞ 社内LAN 顧客管理ｻｰﾊﾞ

図3.3　ＩＦマトリックス（例）

② ＴＲマトリックス作成要領

次に、ＴＲマトリックスを作成する。このマトリックスは、守るべき情報に対して、

どのような脅威が想定するのかをまとめたものである。この脅威はデータフローの

発信側、通信途中、受信側を考慮して設定する必要がある。

また、想定した脅威は、どのセキュリティ要件に該当するのかを、このマトリック

ス上に展開する。例えば、“なりすまし”であれば、セキュリティ要件の「識別と

認証」や「アクセス制御」に展開し、また、“サービス妨害（ＤｏＳ）攻撃”であ

れば、「可用性」に展開する。

さらに、ウィルスを脅威として想定する場合は、ウィルスの種類・特性に応じて、

セキュリティ要件に落す必要がある。ウィルスが保有する機能もいろいろ有り、ハ

ードディスクの内容を破壊する機能を持っているものを使用するのであれば、「可

用性」の要件に展開し、情報を盗聴する機能を持ったものであれば、「機密性」の

要件に展開するなど、ウィルスをひとまとめに考えるのではなく、想定したウィル

スがどのセキュリティ要件を侵害する恐れがあるのかを十分検討する必要がある。

図3.4に今回のシステムに関するＴＲマトリックスを示す。なお、脅威がデータフ

ローの発信側、通信途中、受信側のどこに該当するのかは、次のＦＲマトリックス

上で示すものとする。

サンプルネットワークでの具体例資料

＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿29

セキュリティ要件情報 脅威

機密性 完全性 可用性 識別と認証 ｱｸｾｽ制御 否認防止

盗聴・盗難 ○

改ざん ○顧客情報

なりすまし ○ ○

改ざん ○

なりすまし ○ ○受注情報

サービス妨害 ○

改ざん ○請求書情報

ウィルス（破壊） ○

図3.4　ＴＲマトリックス（例）

③ ＦＲマトリックス作成要領

最後に、①、②で作成した、ＩＦマトリックス、ＴＲマトリックスを組み合わせて、

ＦＲマトリックスを作成する。このマトリックスは、守るべき情報と想定される脅

威を、データフローの観点から、関与するシステム構成要素とその中で持つべきセ

キュリティ要件に展開したものである。この展開された個々の項目が実験項目とな

る。

対象システムに関するＦＲマトリックスを図3.5に示す。ここで○印を付けた部分

が実験項目となる。

サンプルネットワークでの具体例資料

＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿30

情報 脅威 フロー 構成要素 セキュリティ要件機密性 完全性 可用性 識別と認証 ｱｸｾｽ制御 否認防止

受注ｻｰﾊﾞ ○ 1受注処理 社内LAN ○ 9

盗聴・盗難 配送手配ｻｰﾊﾞ ○ 17配送手配ｻｰﾊﾞ ○

売上処理 社内LAN ○顧客管理ｻｰﾊﾞ ○受注ｻｰﾊﾞ ○ 3

受注処理 社内LAN ○ 11顧客情報 改ざん 配送手配ｻｰﾊﾞ ○ 19

配送手配ｻｰﾊﾞ ○売上処理 社内LAN ○

顧客管理ｻｰﾊﾞ ○受注ｻｰﾊﾞ ○ 6 ○ 8

受注処理 社内LAN ○ 14 ○ 16なりすまし 配送手配ｻｰﾊﾞ ○ 22 ○ 24

受注ｻｰﾊﾞ ○ ○売上処理 社内LAN ○ ○

配送手配ｻｰﾊﾞ ○ ○受注ｻｰﾊﾞ ○ 2

改ざん 受注処理 社内LAN ○ 10配送手配ｻｰﾊﾞ ○ 18受注ｻｰﾊﾞ ○ 5 ○ 7

受注情報 なりすまし 受注処理 社内LAN ○ 13 ○ 15配送手配ｻｰﾊﾞ ○ 21 ○ 23受注ｻｰﾊﾞ ○ 4

サービス 受注処理 社内LAN ○ 12妨害 配送手配ｻｰﾊﾞ ○ 20

配送手配ｻｰﾊﾞ ○改ざん 売上処理 社内LAN ○

顧客管理ｻｰﾊﾞ ○配送手配ｻｰﾊﾞ ○

請求書 ウィルス 売上処理 社内LAN ○情報 （破壊） 顧客管理ｻｰﾊﾞ ○

受注ｻｰﾊﾞ ○ ○なりすまし 売上処理 社内LAN ○ ○

配送手配ｻｰﾊﾞ ○ ○セキュリティ要件欄の数字は、実験項目展開表で付けた実験項目番号を示す。

図3. 5　ＦＲマトリックス

サンプルネットワークでの具体例資料

＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿31

3.2.4 実験計画の策定方法

（1） 実験項目展開表の作成

ＦＲマトリックスを使って設定された実験項目を、大項目がデータフロー、中項目

がシステム構成要素、小項目がセキュリティ要件としてくくり直し、また、実験項目

毎に実験結果に本来持つべきセキュリティ機能として期待されるあるべき姿を「実験

項目展開表」にまとめる。今回の対象システムのデータフロー：受注処理の具体的な

実験項目展開表の例を図3.6に示す。

大項目：受注処理

中項目 小項目 実験項目の記述

構成要素ｾｷｭﾘﾃｨ要件

あるべき姿実験項目番号

備考

受注ｻｰﾊﾞ 機密性 受注ｻｰﾊﾞに格納されている顧客情報を不正に取得されないこと。また、不正に取得された情報の内容が理解されないこと。

1

完全性 受注ｻｰﾊﾞに格納されている顧客情報を改ざんされないこと。また、改ざんされたことを検知できること。

2

受注ｻｰﾊﾞに格納されている受注情報を改ざんされないこと。また、改ざんされたことを検知できること。

3

可用性 受注ｻｰﾊﾞでの処理を妨害されないこと。また、妨害を受けても処理を継続できること。

4

識別と認証受注情報を扱うｱﾌﾟﾘｹｰｼｮﾝを使用するに当っては、ﾕｰｻﾞやﾌﾟﾛｸﾞﾗﾑを識別でき、本物であることを認証できること。

5

顧客情報を扱うｱﾌﾟﾘｹｰｼｮﾝを使用するに当っては、ﾕｰｻﾞやﾌﾟﾛｸﾞﾗﾑを識別でき、本物であることを認証できること。

6

ｱｸｾｽ制御 許可されたﾕｰｻﾞやﾌﾟﾛｸﾞﾗﾑのみが、受注ｻｰﾊﾞに格納されている受注情報を許可された範囲内で使用できるように、ﾃﾞｰﾀﾍﾞｰｽへの使用権限を設定していること。

7

許可されたﾕｰｻﾞやﾌﾟﾛｸﾞﾗﾑのみが、受注ｻｰﾊﾞに格納されている顧客情報を許可された範囲内で使用できるように、ﾃﾞｰﾀﾍﾞｰｽへの使用権限を設定していること。

8

社内LAN 機密性 社内LAN上を流れる顧客情報を不正に取得されないこと。また、不正の取得されても内容が理解されないこと。

9

サンプルネットワークでの具体例資料

＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿32

完全性 社内LAN上を流れる受注情報を改ざんされないこと。また、改ざんされたことを検知できること。

10

社内LAN上を流れる顧客情報を改ざんされないこと。また、改ざんされたことを検知できること。

11

可用性 社内LAN上を流れるﾌﾚｰﾑﾃﾞｰﾀが、妨害を受けないこと。また、妨害を受けても処理が継続できること。（送受信動作が低下、または停止しないこと）

12

識別と認証社内LAN経由で受注情報を扱うｱﾌﾟﾘｹｰｼｮﾝを使用するに当っては、ﾕｰｻﾞやﾌﾟﾛｸﾞﾗﾑを識別でき、本物であることを認証できること。

13

社内LAN経由で顧客情報を扱うｱﾌﾟﾘｹｰｼｮﾝを使用するに当っては、ﾕｰｻﾞやﾌﾟﾛｸﾞﾗﾑを識別でき、本物であることを認証できること。

14

ｱｸｾｽ制御 社内LAN経由でのｱｸｾｽにおいて、許可されたﾕｰｻﾞやﾌﾟﾛｸﾞﾗﾑのみが、配送手配ｻｰﾊﾞに格納されている受注情報を許可された範囲内で使用できるように、ﾃﾞｰﾀﾍﾞｰｽへの使用権限を設定していること。

15

社内LAN経由でのｱｸｾｽにおいて、許可されたﾕｰｻﾞやﾌﾟﾛｸﾞﾗﾑのみが、配送手配ｻｰﾊﾞに格納されている顧客情報を許可された範囲内で使用できるように、ﾃﾞｰﾀﾍﾞｰｽへの使用権限を設定していること。

16

配送手配ｻｰﾊﾞ

機密性 配送手配ｻｰﾊﾞに格納されている顧客情報を不正に取得されないこと。また、不正に取得された情報の内容が理解されないこと。

17 顧客情報が含まれる配送情報

完全性 配送手配ｻｰﾊﾞに格納されている顧客情報を改ざんされないこと。また、改ざんされたことを検知できること。

18 顧客情報が含まれる配送情報

配送手配ｻｰﾊﾞに格納されている受注情報を改ざんされないこと。また、改ざんされたことを検知できること。

19 受注情報が含まれる配送情報

可用性 配送手配ｻｰﾊﾞでの処理を妨害されないこと。また、妨害を受けても処理を継続できること。

20

識別と認証受注情報を扱うｱﾌﾟﾘｹｰｼｮﾝを使用するに当っては、ﾕｰｻﾞやﾌﾟﾛｸﾞﾗﾑを識別でき、本物であることを認証できること。

21

顧客情報を扱うｱﾌﾟﾘｹｰｼｮﾝを使用するに当っては、ﾕｰｻﾞやﾌﾟﾛｸﾞﾗﾑを識別でき、本物であることを認証できること。

22

ｱｸｾｽ制御 許可されたﾕｰｻﾞやﾌﾟﾛｸﾞﾗﾑのみが、配送手配ｻｰﾊﾞに格納されている受注情報を許可された範囲内で使用できるように、ﾃﾞｰﾀﾍﾞｰｽへの使用権限を設定していること。

23 顧客情報が含まれる配送情報

許可されたﾕｰｻﾞやﾌﾟﾛｸﾞﾗﾑのみが、配送手配ｻｰﾊﾞに格納されている顧客情報を許可された範囲内で使用できるように、ﾃﾞｰﾀﾍﾞｰｽへの使用権限を設定し

24 受注情報が含まれる配送情報

サンプルネットワークでの具体例資料

＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿33

ていること。

以下、同様に実験項目を展開する

図3.6　実験項目展開表（例）

（2） 実験内容計画表の作成

「実験項目展開表」を作成したら、次は、「実験内容計画表」を作成する。

「実験内容計画表」には、「実験項目展開表」で得られた実験項目毎に、以下の事

項を分析・企画することにより実験内容を定め、その結果で実験実施の可否を判断し、

実験実施単位を設定する。

・ 実験の目的

・ 実験の前提条件と実施方法

・ 実験結果の確認方法

・ 実験で収集すべきデータ

・ 同一実験項目の識別

・ 実験の可否とその理由

実験内容を定める際は、アタッカのアタック力として設定したレベルを十分考慮し、

アタック力に見合う内容とする。例えば、アタック力を「低」に設定したのであれば、

特殊ツールを使った実験内容にしないなど、を十分注意する。

また、実験実施の可否判断とは、例えば、特殊な知識や特殊なインターフェイス／

ツールが無い限り、実験を実施できない場合など、想定したアタック力では実験内容

自体が成立しない場合に「否」の判断を行う。

実際に実験する実施単位の基本は実験項目単位であるが、異なる実験項目でも、シ

ステム上、同じ仕組みの中で取扱われているもの、例えば、情報の種類は違っても同

じディレクトリに格納されているなど、同じ一つの実験において検証可能な場合があ

るため、この段階で同一実験内容を識別して統合しておく。

データフロー：受注処理、システム構成要素：社内ＬＡＮについての具体的な実験

内容計画表の例を図3.7に示す。

サンプルネットワークでの具体例資料

＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿34

大項目：受注処理

中項目 小項目 実験項目番号

実験の目的 実験内容 収集データ 同一実験情報

実験番号

備考

実験の可否

構成要素 ｾｷｭﾘﾃｨ要件

前提条件／方法 確認

社内LAN 機密性 9 社内LAN上を流れる顧客情報を不正に取得されないことを実験する。また、不正の取得されても内容が理解されないことを実験する。

社内LANを流れるﾌﾚｰﾑﾃﾞｰﾀの取得を試みる。また、不正取得したﾌﾚｰﾑﾃﾞｰﾀを分析し、内容を理解することを試みる。

ﾌﾚｰﾑﾃﾞｰﾀを取得できるかを確認する。文字、数値情報が取得できるか、内容が理解できるか確認する。

ﾌﾚｰﾑﾃﾞｰﾀ 7 可

完全性 10 社内LAN上を流れる受注情報を改ざんされないことを実験する。また、改ざんされたことを検知できることを実験する。

社内LAN上の配送手配ｻｰﾊﾞへ送信される受注情報のﾌﾚｰﾑﾃﾞｰﾀを取得し、改ざんを試みる。また、改ざんしたﾌﾚｰﾑﾃﾞｰﾀを社内LANへ再送し、配送手配ｻｰﾊﾞで改ざんを検知できるかを試みる。

ﾌﾚｰﾑﾃﾞｰﾀを改ざんできるかを確認する。また、配送手配ｻｰﾊﾞのｴﾗｰﾒｯｾｰｼﾞ等を確認する。

改ざん前後のﾌﾚｰﾑﾃﾞｰﾀｴﾗｰﾒｯｾｰｼﾞｼｽﾃﾑﾛｸﾞ

11 8 可

11 社内LAN上を流れる顧客情報を改ざんされないことを実験する。また、改ざんされたことを検知できることを実験する。

社内LAN上の配送手配ｻｰﾊﾞへ送信される顧客情報のﾌﾚｰﾑﾃﾞｰﾀを取得し、改ざんを試みる。また、改ざんしたﾌﾚｰﾑﾃﾞｰﾀを社内LANへ再送し、配送手配ｻｰﾊﾞで改ざんを検知できるかを試みる。

ﾌﾚｰﾑﾃﾞｰﾀを改ざんできるかを確認する。また、配送手配ｻｰﾊﾞのｴﾗｰﾒｯｾｰｼﾞ等を確認する。

改ざん前後のﾌﾚｰﾑﾃﾞｰﾀｴﾗｰﾒｯｾｰｼﾞｼｽﾃﾑﾛｸﾞ

10 8 可

可用性 12 社内LAN上を流れるﾌﾚｰﾑﾃﾞｰﾀが、妨害を受けないことを実験する。また、妨害を受けても処

社内LAN上に大量のﾌﾚｰﾑﾃﾞｰﾀの送信、通信ﾛｯｸを起こすような内容のﾌﾚｰﾑﾃﾞｰﾀの送信を行い、社

受注ｻｰﾊﾞと配送手配ｻｰﾊﾞ間で、通常ｵﾍﾟﾚｰｼｮﾝ時の応答時間および妨害発生時の応答時間を

応答時間比較障害発生ﾒｯｾｰｼﾞﾌﾚｰﾑﾃﾞｰﾀ送信ﾛｸﾞ

9 可

サンプルネットワークでの具体例資料

＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿35

理が継続できることを実験する。（送受信動作が低下、または停止しないこと）

内LANの通信処理の妨害を試みる。

計測する。また、障害発生状況（ﾀｲﾑｱｳﾄ、ﾘﾄﾗｲ等）を確認する。

社内LAN 識別と認証

13 社内LAN経由で受注情報を扱うｱﾌﾟﾘｹｰｼｮﾝを使用するに当っては、ﾕｰｻﾞやﾌﾟﾛｸﾞﾗﾑを識別でき、本物であることを認証できることを実験する。

ｱﾀｯｸﾏｼﾝから受注ｻｰﾊﾞ上の受注情報を扱っているｱﾌﾟﾘｹｰｼｮﾝにﾛｸﾞｲﾝを試みる。この際、許可されていないﾕｰｻﾞIDでｱﾌﾟﾘｹｰｼｮﾝを使用できるかを試みる。

ｱﾌﾟﾘｹｰｼｮﾝがｱｶｳﾝﾄを識別・認証するかを確認する。受注ｻｰﾊﾞ上でのｴﾗｰﾒｯｾｰｼﾞ等を確認する。

ｴﾗｰﾒｯｾｰｼﾞｱｸｾｽ(ｴﾗｰ)ﾛｸﾞ

10 可

14 社内LAN経由で顧客情報を扱うｱﾌﾟﾘｹｰｼｮﾝを使用するに当っては、ﾕｰｻﾞやﾌﾟﾛｸﾞﾗﾑを識別でき、本物であることを認証できることを実験する。

ｱﾀｯｸﾏｼﾝから受注ｻｰﾊﾞ上の顧客情報を扱っているｱﾌﾟﾘｹｰｼｮﾝにﾛｸﾞｲﾝを試みる。この際、許可されていないﾕｰｻﾞIDでｱﾌﾟﾘｹｰｼｮﾝを使用できるかを試みる。

ｱﾌﾟﾘｹｰｼｮﾝがｱｶｳﾝﾄを識別・認証するかを確認する。受注ｻｰﾊﾞ上でのｴﾗｰﾒｯｾｰｼﾞ等を確認する。

ｴﾗｰﾒｯｾｰｼﾞｱｸｾｽ(ｴﾗｰ)ﾛｸﾞ

11 可

ｱｸｾｽ制御 15 社内LAN経由でのｱｸｾｽにおいて、許可されたﾕｰｻﾞやﾌﾟﾛｸﾞﾗﾑのみが、配送手配ｻｰﾊﾞに格納されている受注情報を許可された範囲内で使用できるように、ﾃﾞｰﾀﾍﾞｰｽへの使用権限を設定していることを実験する。

社内LAN上の配送手配ｻｰﾊﾞへ送信される受注情報のﾌﾚｰﾑﾃﾞｰﾀを取得し、そのﾌﾚｰﾑﾃﾞｰﾀを社内LANへ再送し、配送手配ｻｰﾊﾞでなりすましを検知できるかを試みる。

ﾃﾞｰﾀﾍﾞｰｽがｱｶｳﾝﾄを識別・認証するかを確認する。配送手配ｻｰﾊﾞ上でのｴﾗｰﾒｯｾｰｼﾞ等を確認する。

ｴﾗｰﾒｯｾｰｼﾞｱｸｾｽ(ｴﾗｰ)ﾛｸﾞ

16 12 可

16 社内LAN経由でのｱｸｾｽにおいて、許可されたﾕｰｻﾞやﾌﾟﾛｸﾞﾗﾑのみが、配送手配ｻｰﾊﾞに格納されている顧客情報を許可された範囲内で使用できるように、ﾃﾞｰﾀﾍﾞｰｽへの使用権限を設定し

社内LAN上の配送手配ｻｰﾊﾞへ送信される顧客情報のﾌﾚｰﾑﾃﾞｰﾀを取得し、そのﾌﾚｰﾑﾃﾞｰﾀを社内LANへ再送し、配送手配ｻｰﾊﾞでなりすましを検知できるかを試みる。

ﾃﾞｰﾀﾍﾞｰｽがｱｶｳﾝﾄを識別・認証するかを確認する。配送手配ｻｰﾊﾞ上でのｴﾗｰﾒｯｾｰｼﾞ等を確認する。

ｴﾗｰﾒｯｾｰｼﾞｱｸｾｽ(ｴﾗｰ)ﾛｸﾞ

15 12 可

サンプルネットワークでの具体例資料

＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿36

ていることを実験する。

同様に、実験項目展開表で設定された実験項目について、その実験内容を記述する

図3. 7　実験内容計画表

（3） 実験指示書兼結果記録票の作成

「実験内容計画表」において実験実施可能と判断された実験項目については、実験

手順をより一層具体化した「実験指示書兼結果記録票」をそれぞれ作成する。「実験

指示書兼結果記録票」には実験目的、準備項目、使用機器、作業手順など実験の実施

に必要となる内容を記述する。また、次の実施局面において、作業手順を実施した結

果、収集した資料の一覧、結果に対する考察なども「実験指示書兼結果記録票」に記

述できるようにしておく。

「実験指示書兼結果記録票」の具体的な例を図3.8に示す。

サンプルネットワークでの具体例資料

＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿37

実験指示書兼結果記録票実験指示書兼結果記録票実験指示書兼結果記録票実験指示書兼結果記録票 実験番号実験番号実験番号実験番号 ８８８８

作成者 ○○○○ 最終更新者 ○○○○作成日時 YYYY／MM／DD 最終更新日時 YYYY／MM／DD大項目 受注処理中項目 社内LAN小項目 完全性同一実験項目番号 10、11実 験実 験実 験実 験目的目的目的目的

社内LAN上を流れる受注（顧客）情報を改ざんされないことを実験する。また、改ざんされたことを検知できることを実験する。

使 用使 用使 用使 用機器機器機器機器

sniffer、ＰＣ

実 験実 験実 験実 験準備準備準備準備

フレームデータを取得できるようsnifferを準備する。

実験実施予定日 YYYY／MM／DD 実験実施場所 対象システム設置場所

実験手順実験手順実験手順実験手順実験実施日実験実施日実験実施日実験実施日 YYYY／MM／DD 実験実施者実験実施者実験実施者実験実施者 ○○○○

収集 ■ログ（ファイル形式：テキスト、ＢＭＰ、ＪＰＧ、ＴＩＦＦ、ＧＩＦ、ＥＸＥ、その他）予定 □画面（ファイル形式：テキスト、ＢＭＰ、ＪＰＧ、ＴＩＦＦ、ＧＩＦ、ＥＸＥ、その他）資料 ■ログ以外のファイル（改ざん前後のフレームデータ）

□その他（　　　　　　　　　　　　　　　　　）時刻 ck 作業 担当

１．snifferを社内LANに接続し、ネットワーク上の受注情報に関するフレームデータ　　を取得する。

２．フレームデータの内容を確認し、データを改ざんする。

　　そのまま送信してもシーケンス番号が重複して受信されないので、　　シーケンス番号の変更も試みる。

　　ネットワークを盗聴してシーケンス番号を取得し、偽フレームデータを送信する　　プログラムを作成する。

３．改ざんしたフレームデータを社内LANに再送する。

４．配送手配サーバ上で、偽フレームデータがどのように処理されているかを確認する。

　　エラーメッセージ　　システムログ

サンプルネットワークでの具体例資料

＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿38

収集資料一覧ck ファイル名称 説明□□□□□□□□□□□□□□□□□□□□□□□□□□□□

テスト結果考察

図3. 8　実験結果指示書兼結果記録表

サンプルネットワークでの具体例資料

＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿39

3.33.33.33.3 実施局面実施局面実施局面実施局面

3.3.1 実験実施方法

分析アタック安全性検証は、統合アタック安全性検証と違い、各実験項目に対して

システムの運用側が実験環境を整え、これに対してアタッカ側がアタックする方式で

進める。つまり、両者が協業して実験を行うことになるので、アタッカ側への情報提

供は慎重にする必要がある。今回のようにアタック力「低」を設定した場合、一般技

術保有アタッカを想定しているわけであるから、システムの運用側からの情報提示に

ついて、一般技術保有アタッカを越える内容にならないようにする。そうしないと、

設定したアタック力と出てきた結果との間に違いが生じ、正確な評価に繋がらなくな

るからである。

3.3.2 実施結果のまとめ方

実施局面においては、計画局面で作成した「実験指示書兼結果記録票」の作業手順

に基づいて、分析アタック実験を実施する。作業手順を実施した結果、収集した資料

の一覧、結果に対する考察などを「実験指示書兼結果記録票」に記述する。

3.43.43.43.4 評価局面評価局面評価局面評価局面

3.4.1 セキュリティ機能充足度評価基準の適用方法

（1） セキュリティ機能充足度評価

「実験指示書兼結果記録票」に記述された内容を整理して、図3.9に示す「実験結

果評価票」に記述する。

この評価票の中で、当フレームワークで定義されているセキュリティ機能充足度評

価基準表を用いて、実験結果に対する評価を行う。また、評価根拠や評価考察等を、

この評価票に記述する。参考として、図3.10から図3.15に各セキュリティ要件ごと

のセキュリティ機能充足度評価基準表を示す。

次にこの評価をＦＲマトリックスに再度整理、集計することにより、最終的には守

るべき情報資産とそれに対応する脅威毎にセキュリティ機能充足度の評価点が得られ

ることになる。複数個の実験結果が存在する場合には、一番弱い部分を突いてアタッ

クすることがセキュリティの常套手段であることから、一番悪い評価点を以って、守

るべき情報資産とそれに対応する脅威ごとのセキュリティ機能充足度評価とする。具

体的な例を図3.16に示す。

サンプルネットワークでの具体例資料

＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿40

実験実験実験実験番号番号番号番号

8 実験項目番号実験項目番号実験項目番号実験項目番号 データフローパターンデータフローパターンデータフローパターンデータフローパターン 構成要素構成要素構成要素構成要素 セキュリティ要件セキュリティ要件セキュリティ要件セキュリティ要件

10,11 受注処理 社内LAN 完全性

あるべき姿あるべき姿あるべき姿あるべき姿 セキュリティセキュリティセキュリティセキュリティ機能充足度評価機能充足度評価機能充足度評価機能充足度評価

評価考察評価考察評価考察評価考察

社内LAN上を流れる受注（顧客）情報を改ざんされないこと。また、改ざんされたことを検知できること。

Ｅ

改ざんしたフレームデータを配送手配サーバに向けて送信することによって、データの改ざんが可能であった。また、通常と同じように処理されてしまうため、まったく検知されなかった。送信されているフレームデータはテキスト形式であり、改ざんが可能である。暗号化、チェックサム、電子署名等による改ざんチェックが行われておらず、改ざんを検知することはできない。以上より、完全性を向上させるための対策、手段は存在しておらず、社内ＬＡＮの完全性については、まったくできていないといえる。

実験結果実験結果実験結果実験結果 参照データ参照データ参照データ参照データ レビューレビューレビューレビュー・コメン・コメン・コメン・コメントトトト

偽造データ配送情報システムログ

アタック力アタック力アタック力アタック力低

受注サーバから配送手配サーバへのフレームデータを取得し、改ざん後、送信したところ、データは配送手配サーバで異常を起こさず処理され、配送情報に反映された。偽造データを１回だけ送信した場合には、データ受信後、シーケンス番号重複によってセッションが切断し、再接続後、通信エラーがログに記録された。しかし、連続的に偽造データを配送手配サーバに送信した場合、データは全て配送手配サーバで受信され異常を起こさず処理された。偽造データの送信を止めると、セッションの切断、再接続が発生するが、偽造データの送信を続けている限りエラーとはならず、改ざんはまったく検知されなかった。

図3. 9　実験結果評価票

サンプルネットワークでの具体例資料

＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿41

図3.10　機密性におけるセキュリティ機能充足度評価基準

図3.11　完全性におけるセキュリティ機能充足度評価基準

機密性の評価基準 機密情報が取得できる No

機密情報が表示できる

暗号化されていないが、情報は特殊様式や構成である為、システムの内部構成やビット構成の知識がない限り表示できない

No

Yes

全てのデータが表示できる No

一部のデータが表示でき、それらデータが不規則・不定型である

Yes

No

Yes

Yes

Yes

No

暗号鍵などで、情報の秘匿性が守られており、表

示できないYes

No

一部のデータが表示でき、それらデータが規則・定型である

評価一般的な評価基

準

一般的な評価基

準（補足）

機密情報の取得ができるか？

機密情報が入手できた場合、機密

情報の内容を表示できるか？

表示できた場合、表示データの形式はどのようになっているのか？

A優れた物がある

／良くできている機密情報が取得できない

機密情報が暗号化されていて、データの表示はできない（単語は確

認できない）

　・暗号鍵などによって秘匿性が守

られている

B一応ある／できて

いるほうだ－－－

機密情報が特殊様式や構成で、

データの表示はできない（単語は確

認できない）

　・暗号化されていないが、情報は

特殊様式や構成である為、特殊知識がない限り表示できない

C

不十分だがある

／少しはできてい

る

－－－

機密情報が平文であるため、情報

を一部表示することができる（単語

が確認できる）　・表示データが不規則・不定型で、

一部の表示情報を関連付けること

はできない

D

ほとんどないに等

しい／ほとんどで

きていない

－－－

機密情報が平文であるため、情報を一部表示することができる（単語

が確認できる）

　・表示データが規則・定型で、一部

の表示情報を関連付けることはでき

る

E存在しない／まっ

たくできていない－－－

機密情報を全て表示できる

　・取得データが平文であるため情

報を全て表示することができる

機密性を向上するための対策、手

段が存在し、機能

している

機密性を向上す

るための対策、手

段が存在しない

完全性の評価基準 データが改ざんされる No

データの処理を中止する

システム・オペレータまたは管理者にメッセージ

を通知する

Yes

No

No

Yes

適切なメッセージを通知する

No

エラーメッセージを通知する Yes

Yes

データ処理は終了したが、異常終了などで、メッセージを通知しない。　・アプリケーションやシステムの異常終了時を含むエラー・メッセージの確認手段が存在しない。

エラーメッセージなどを通知する。エラー・メッセージの確認手段が存在する。

Yes

No

評価一般的な評価基

準

一般的な評価基準（補足）

データが改ざんされないかどうか？

改ざんされたデータの処理を中止できるかどうか？

データを改ざんされた場合、適切なメッセージをシステム・オペレータまたは管理者に通知するか？

A優れた物がある／良くできている

データが改ざんされない

改ざんされたデータの処理を中止する

改ざんされたことを適切なメッセージをシステムオペレータまたは管理者に通知する　・データ改ざんされたこと、改ざんされたデータの処理を中止したことを通知する

B一応ある／できているほうだ

－－－改ざんされたデータの処理を中止する

データの処理を中止したことをエラー・メッセージとしてシステムオペレータまたは管理者に通知する　・データの処理を中止したことをエラー・メッセージで通知する

C不十分だがある／少しはできている

－－－

改ざんされたデータの処理を中止する　・アプリケーションまたはシステムが異常終了する

メッセージは通知されない　・エラー・メッセージの確認手段が存在しない

Dほとんどないに等しい／ほとんどできていない

－－－改ざんされたデータの処理を中止しない

システム・オペレータまたは管理者にメッセージが通知される　・エラーメッセージ等の確認手段が存在する

E存在しない／まったくできていない

－－－ －－－メッセージは通知されない　・エラー・メッセージの確認手段が存在しない

完全性を向上するための対策、手段が存在し、機能している

完全性を向上するための対策、手段が存在しない

サンプルネットワークでの具体例資料

＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿42

図3.12　可用性におけるセキュリティ機能充足度評価基準

図3.13　識別と認証におけるセキュリティ機能充足度評価基準

可用性の評価基準

サービスを継続できる Yes

No

サービス妨害・不能アタック、システム負荷、データの破壊・削除を検

知できる

Yes

No

サービス妨害・不能アタック、システム負荷、データの破壊・削除を自

動排除できる

Yes

No

サービス妨害・不能アタック、システム負荷、データの破壊・削除のどれかでサービスが継続で

きる

No

Yes

評価一般的な評価基

準

一般的な評価基

準

（補足）

サービスは継続できるか？

サービス妨害・不能ア

タック、システム負荷、

データの破壊・削除を

検知できるか？

サービス妨害・不能ア

タック、システム負荷、

データの破壊・削除を

排除できるか？

A優れた物がある

／良くできているサービスを継続できる

サービス妨害・不能ア

タック、システム負荷、

データの破壊・削除を

検知できる

サービス妨害・不能ア

タック、システム負荷、

データの破壊・削除を

自動排除できる

B一応ある／できて

いるほうだ

サービスを継続できる

サービス妨害・不能ア

タック、システム負荷、

データの破壊・削除を

検知できる

サービス妨害・不能ア

タック、システム負荷、

データの破壊・削除を

自動排除できない

C

不十分だがある

／少しはできてい

る

可用性を向上す

るための対策、手

段が存在しない

が、影響を受けな

い

サービルを継続できる

サービス妨害・不能ア

タック、システム負荷、

データの破壊・削除を

検知できない

－－－

D

ほとんどないに等

しい／ほとんどで

きていない

サービスを継続できない

　・サービス妨害・不能アタッ

ク、システム負荷、データの

破壊・削除のどれかでサービ

スの継続ができない場合

－－－ －－－

E存在しない／まっ

たくできていないサービスを継続できない －－－ －－－

可用性を向上す

るための対策、手

段が存在し、機能

している

可用性を向上す

るための対策、手

段が存在しない

識別と認証の評価基準識別する機能と認証する機能が両方あり、機能し

ているYes

No

一定回数以上の識別または認証の間違いは、次回以降の識別と認証を拒否する機能があり、機能し

ている

Yes

強固な認証機能があり、機能している Yes

No

No

識別の機能／認証の機能どちらか一方がある

一定回数以上の識別または認証の間違いは、今回のみの識別と認証を拒否する機能があり、機能し

ている

No

Yes

Yes

No

評価一般的な評価基

準

一般的な評価基

準

（補足）

不正な識別と認証に対

処した機能はあり、機能

しているか？

認証機能はどのように

なっているのか？

A優れた物がある

／良くできている

一定回数以上の識別または認証の間違いは、

次回以降の識別と認証

を拒否する機能があり、機能している

強固な認証機能がある　・暗号化されている

　・One Time Password

　・Degital署名により認証　・声帯、網膜、指紋認証

　　　　　　　　　　　　　　等

B一応ある／できて

いるほうだ

一定回数以上の識別ま

たは認証の間違いは、今回のみの識別と認証

の受付を拒否する機能があり、機能している

－－－

C不十分だがある／少しはできてい

る

一定回数以上の識別ま

たは認証の間違いがあっても、識別と認証の

受付を拒否する機能がない

－－－

Dほとんどないに等しい／ほとんどで

きていない

－－－ －－－

E存在しない／まっ

たくできていない－－－ －－－

識別と認証機能があり、機能して

いるか？

識別する機能と認証する機能の

両方があり、機能している

識別する機能と認証する機能の

両方があり、機能している

識別と認証向上するための対策、

手段が存在し、機

能している

識別と認証を向上するための対

策、手段が存在しない

識別する機能ま

たは認証する機能のどちらか一

方があり、そのどちらか一方は機

能している

識別する機能ま

たは認証する機能のどちらもない

識別する機能と

認証する機能の

両方があり、機能している

サンプルネットワークでの具体例資料

＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿43

図3.14　アクセス制御におけるセキュリティ機能充足度評価基準

図3.15　否認防止におけるセキュリティ機能充足度評価基準

アクセス制御の評価基準

DBやファイルに対してアクセス制御を行っている Yes

NoNo

読込、書込のアクセス権限管理を行っ

ているYes

アクセス制御／アクセス権限の管理違反をシステム・オペレータまたは管理者に通知する

Yes

No

読込、書込のアクセス権限管理を行っ

ているYes

No

アクセス制御／アクセス権限の管理違反をシステム・オペレータまたは管理者に通知する

Yes

No

評価一般的な評価基

準

一般的な評価基

準

（補足）

ユーザ単位でデータに

対してアクセス制御の

機能があり、機能してい

るか？

リソース単位でアクセス

権限管理の機能があ

り、機能しているか？

アクセス制御／アクセ

ス権限管理違反をシス

テム・オペレータまたは

管理者に通知するか？

A優れた物がある

／良くできている

DBまたはファイルに対

して、アクセス制御を

行っている

読込、書込のアクセス

権限管理を行っている

アクセス制御／アクセ

ス権限管理違反をシス

テム・オペレータまたは

管理者に通知する

B一応ある／できて

いるほうだ

DBまたはファイルに対

して、アクセス制御を

行っている

読込、書込のアクセス

権限管理を行っている

アクセス制御／アクセ

ス権限管理違反をシス

テム・オペレータまたは

管理者に通知しない

C

不十分だがある

／少しはできてい

る

アクセス制御／アクセ

ス権限管理違反をシス

テム・オペレータまたは

管理者に通知する

D

ほとんどないに等

しい／ほとんどで

きていない

アクセス制御／アクセ

ス権限管理違反をシス

テム・オペレータまたは

管理者に通知しない

E存在しない／まっ

たくできていない－－－

アクセス制御を向

上するための対

策、手段が存在

し、機能している

アクセス制御を向

上するための対

策、手段が存在し

ない

DBまたはファイルに対して、アクセス制御／読

込、書込のアクセス権限管理のどちらも行ってい

ない

DBまたはファイルに対して、アクセス制御／読

込、書込のアクセス権限管理のどちらかを行って

いる

DBまたはファイルに対して、アクセス制御／読

込、書込のアクセス権限管理のどちらかを行って

いる

評価一般的な評価基

準

一般的な評価基

準

（補足）

第三者によって否認防止機能が保証されているか？

送受信において否認防止機能があり、機能しているか？

A優れた物がある／良くできている

送信側と受信側の両側に否認でき

ない機能があり、第三者によって保

証されている　・電子署名等の機能があり、

　　CA局等によって署名が保証

　　されている場合

送信側の送信事実および受信側の

受信事実ともに否認できない機能が複数あり、機能している

　・電子署名等の機能

　・双方のログ等

B一応ある／できて

いるほうだ－－－

送信側の送信事実および受信側の受信事実ともに否認できないきのう

があり、機能している。送信側また

は受信側のいずれかに複数ある　・電子署名などの機能

　・いずれかのログ等

C

不十分だがある

／少しはできてい

る

－－－

送信側の送信事実および受信側の受信事実ともに否認できない機能が

１つあり、機能している

　・電子署名などの機能　・双方のログ等

D

ほとんどないに等

しい／ほとんどで

きていない

－－－

送信側の送信事実および受信側の

受信事実のいずれかを否認できない機能が１つあり、機能している

　・いずれかのログ等

E存在しない／まったくできていない

－－－当該機能が、存在していない、もしくは、機能していない

否認防止を向上するための対策、

手段が存在し、機

能している

否認防止を向上

するための対策、手段が存在しな

い

否 認 防 止 n送 受 信 の 両

で き な い 機 能 )

に 保 証 さ

送 受 信 の 両 ･

の 機 能 が あ り )

送 受 信 の 一 ･

の 機 能 が あ り )

No

No

YesYes

Yes

電 子 署

機 能 が @

受 信 の @グ 等 が @

送 受 信 の い ず れ か

あ り 、 機 ･

Yes

電 子 署 名 等 の ･

能 が 有 効 で あ ･信 側 、 受 信 側 ･

て い る 必 ･

No

No

送 受 信 の い ず れ か 一 方 に 電 子信 の 双 方 で 対 応 し て お ら ･送 受 信 の い ず れ に ロ グ 等 が な ･

送 受 信 の 当 事 者 が 修

電 子 署 名 等 を 利

行 っ て お り 、 電 _

を 介 し て 保 ･

否 認 防 止 機 能

の 双 方 で

否 認 防 止 機 能の ど ち ら か 一 Yes

No

電 子 署機 能 が @

受 信 の @

グ 等 が @

電 子 署 名 等 の 機 能 がに ロ グ 等 が な い 場 合 ･

の 機 能 は な い が 、 送が あ ･

サンプルネットワークでの具体例資料

＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿44

情報 脅威 フロー 構成要素 セキュリティ要件機密性 完全性 可用性 識別と認証 ｱｸｾｽ制御 否認防止

受注ｻｰﾊﾞ Ｄ受注処理 社内LAN Ｅ

配送手配ｻｰﾊﾞ Ｄ盗聴・盗難 配送手配ｻｰﾊﾞ Ｄ

売上処理 社内LAN Ｅ顧客管理ｻｰﾊﾞ Ｅ

セキュリティ機能充足度評価 Ｅ改ざん 受注処理 受注ｻｰﾊﾞ Ａ

社内LAN Ｅ顧客情報 配送手配ｻｰﾊﾞ Ｂ

売上処理 配送手配ｻｰﾊﾞ Ｂ社内LAN Ｅ

顧客管理ｻｰﾊﾞ Ａセキュリティ機能充足度評価 Ｅ

なりすまし受注処理 受注ｻｰﾊﾞ Ｂ Ｄ社内LAN Ｃ Ｂ

配送手配ｻｰﾊﾞ Ｂ Ｄ売上処理 受注ｻｰﾊﾞ Ｂ Ｄ

社内LAN Ｃ Ｂ配送手配ｻｰﾊﾞ Ｂ Ｄ

セキュリティ機能充足度評価 Ｃ Ｄ受注情報 改ざん 受注処理 受注ｻｰﾊﾞ Ａ

社内LAN Ｅ配送手配ｻｰﾊﾞ Ｂ

セキュリティ機能充足度評価 Ｅなりすまし受注処理 受注ｻｰﾊﾞ Ｂ Ｄ

社内LAN Ｃ Ｂ配送手配ｻｰﾊﾞ Ｂ Ｄ

セキュリティ機能充足度評価 Ｃ Ｄサービス妨害

受注処理 受注ｻｰﾊﾞ Ｅ

社内LAN Ｃ配送手配ｻｰﾊﾞ Ｅ

セキュリティ機能充足度評価 Ｅ請求書情報

改ざん 売上処理 配送手配ｻｰﾊﾞ Ｂ

社内LAN Ｅ顧客管理ｻｰﾊﾞ Ａ

セキュリティ機能充足度評価 Ｅウィルス 売上処理 配送手配ｻｰﾊﾞ Ａ

サンプルネットワークでの具体例資料

＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿45

（破壊）社内LAN Ａ

顧客管理ｻｰﾊﾞ Ａセキュリティ機能充足度評価 Ａ

なりすまし売上処理 受注ｻｰﾊﾞ Ｂ Ｄ社内LAN Ｃ Ｂ

配送手配ｻｰﾊﾞ Ｂ Ｄセキュリティ機能充足度評価 Ｃ Ｄ

図3.16　セキュリティ機能充足度評価

3.4.2 安全性評価方法

セキュリティ機能充足度評価では、守るべき情報資産とそれに対応する脅威ごとの

セキュリティ機能充足度を評価してきたわけであるが、今後、どこから対策を取るべ

きかを考える場合、求められる機能に対する不充分さに対して同じ優先度をもって対

処するわけではない。

従って、セキュリティ機能充足度評価結果に情報資産の価値や脅威の大きさを加味

した安全性（リスク）評価を行い、この結果を今後の対策立案に繋げる必要がある。

情報資産の価値や脅威の大きさは、できるだけ数値化してセキュリティ機能充足度

評価結果と突き合わせて、これを安全性評価とし、どのセキュリティ機能不足から対

処すべきかを判断することが望ましいが、実際の数値化は難しいことから、図 3.17

に示す方法をとることが現実的である。

図3.17　安全性（リスク）評価の枠組み

情報 脅威 フロー 構成要素 セキュリティ要件 脆弱性評価 リスク評価 優先順位機密性 D完全性 C可用性 A識別と認証 Cアクセス制御 B否認防止 B

A B C D E A B C D E A B C D E

低

中

高

低 中 高

情報資産

脅威脆弱性

低低低低高高高高リスクリスクリスクリスク

機能充足度

機能充足度

サンプルネットワークでの具体例資料

＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿46

具体的に、今回の結果を当てはめて見ると図 3.18 のとおりとなる。なお、点数配

分は次のとおりとする。

セキュリティ機能充足度評価結果：ａ：0、ｂ：1、ｃ：2、ｄ：3、ｅ：4

情報資産の価値：高：3、中：2、低：1

脅威の大きさ：大：3、中：2、小：1

ここでは、安全性（リスク）評価点は点数が大きいほど、リスクが大きいことを意

味しており、対策実施の優先順位が高いことを示しているとともに、安全性（リスク）

評価点を４つに分類し、対策の優先度を示したものである。この結果より、どこから

対策を講じてゆく必要があるのかを判断する基礎資料とすることができる。

情報 脅威 フロー 構成要素 ｾｷｭﾘﾃｨ要件

ｾｷｭﾘﾃｨ機能充足度

情報資産価値

脅威の大きさ

安全性(ﾘｽｸ)評価点

対策優先順位

顧客情報 盗聴・盗難 受注処理 受注ｻｰﾊﾞ 機密性 Ｄ 高 大 27 Ⅱ群社内LAN 機密性 Ｅ 高 大 36 Ⅰ群

配送手配ｻｰﾊﾞ 機密性 Ｄ 高 大 27 Ⅱ群売上処理 配送手配ｻｰﾊﾞ 機密性 Ｄ 高 大 27 Ⅱ群

社内LAN 機密性 Ｅ 高 大 36 Ⅰ群顧客管理ｻｰﾊﾞ 機密性 Ｅ 高 大 36 Ⅰ群

改ざん 受注処理 受注ｻｰﾊﾞ 完全性 Ａ 高 小 0 -社内LAN 完全性 Ｅ 高 小 12 Ⅲ群

配送手配ｻｰﾊﾞ 完全性 Ｂ 高 小 3 Ⅳ群売上処理 配送手配ｻｰﾊﾞ 完全性 Ｂ 高 小 3 Ⅳ群

社内LAN 完全性 Ｅ 高 小 12 Ⅲ群顧客管理ｻｰﾊﾞ 完全性 Ａ 高 小 0 -

なりすまし 受注処理 受注ｻｰﾊﾞ 識別と認証 Ｂ 高 中 6 Ⅳ群ｱｸｾｽ制御 Ｄ 高 中 18 Ⅲ群

社内LAN 識別と認証 Ｃ 高 中 12 Ⅲ群ｱｸｾｽ制御 Ｂ 高 中 6 Ⅳ群

配送手配ｻｰﾊﾞ 識別と認証 Ｂ 高 中 6 Ⅳ群ｱｸｾｽ制御 Ｄ 高 中 18 Ⅲ群

売上処理 受注ｻｰﾊﾞ 識別と認証 Ｂ 高 中 6 Ⅳ群ｱｸｾｽ制御 Ｄ 高 中 18 Ⅲ群

社内LAN 識別と認証 Ｃ 高 中 12 Ⅲ群ｱｸｾｽ制御 Ｂ 高 中 6 Ⅳ群

配送手配ｻｰﾊﾞ 識別と認証 Ｂ 高 中 6 Ⅳ群ｱｸｾｽ制御 Ｄ 高 中 18 Ⅲ群

受注情報 改ざん 受注処理 受注ｻｰﾊﾞ 完全性 Ａ 中 小 0 -

サンプルネットワークでの具体例資料

＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿47

社内LAN 完全性 Ｅ 中 小 8 Ⅳ群配送手配ｻｰﾊﾞ 完全性 Ｂ 中 小 2 Ⅳ群

なりすまし 受注処理 受注ｻｰﾊﾞ 識別と認証 Ｂ 中 中 4 Ⅳ群ｱｸｾｽ制御 Ｄ 中 中 12 Ⅲ群

社内LAN 識別と認証 Ｃ 中 中 8 Ⅳ群ｱｸｾｽ制御 Ｂ 中 中 4 Ⅳ群

配送手配ｻｰﾊﾞ 識別と認証 Ｂ 中 中 4 Ⅳ群ｱｸｾｽ制御 Ｄ 中 中 12 Ⅲ群

サービス妨害

受注処理 受注ｻｰﾊﾞ 可用性 Ｅ 中 小 8 Ⅳ群

社内LAN 可用性 Ｃ 中 小 4 Ⅳ群配送手配ｻｰﾊﾞ 可用性 Ｅ 中 小 8 Ⅳ群

請求書情報

改ざん 売上処理 配送手配ｻｰﾊﾞ 完全性 Ｂ 中 小 2 Ⅳ群

社内LAN 完全性 Ｅ 中 小 8 Ⅳ群顧客管理ｻｰﾊﾞ 完全性 Ａ 中 小 0 -

ウィルス（破壊）

売上処理 配送手配ｻｰﾊﾞ 可用性 Ａ 中 大 0 -

社内LAN 可用性 Ａ 中 大 0 -顧客管理ｻｰﾊﾞ 可用性 Ａ 中 大 0 -

なりすまし 売上処理 受注ｻｰﾊﾞ 識別と認証 Ｂ 中 中 4 Ⅳ群ｱｸｾｽ制御 Ｄ 中 中 12 Ⅲ群

社内LAN 識別と認証 Ｃ 中 中 8 Ⅳ群ｱｸｾｽ制御 Ｂ 中 中 4 Ⅳ群

配送手配ｻｰﾊﾞ 識別と認証 Ｂ 中 中 4 Ⅳ群ｱｸｾｽ制御 Ｄ 中 中 12 Ⅲ群

図3.18　安全性(リスク)評価