講演名	2021-01-18 ［招待講演］サイバーセキュリティにおけるリスク分析の手法と実態 園田 健太郎(NEC), 中島 春香(NEC),
PDFダウンロードページ	PDFダウンロードページへ
抄録(和)	企業におけるリスクとはビジネスリスクのことであり，重要なビジネスリスクのひとつとしてサイバーセキュリティ（サイバー攻撃）は位置づけられる．サイバーセキュリティにおけるリスク（の高さ）は，脆弱性や脅威情報等から分析，評価することが一般的である．例えば，脆弱性の評価手法としては，共通脆弱性評価システムCVSS（Common Vulnerability Scoring System）が有名である．しかしながら，これらの評価手法では多数ある評価項目の総合判定によって脆弱性の深刻度を算出する方法が多い．したがって，評価者がビジネス環境の特性を踏まえて判定したリスクの高さと乖離が生じることがある．そこで我々は，リスクに対して影響度と攻撃容易性の二種類の評価基準を定義している．影響度は，従来手法を元にしたビジネスに与える影響度である．攻撃容易性は，アクター（攻撃者）視点での攻撃環境や条件を反映した攻撃成立の可能性である．この評価基準を用いて脆弱性診断やペネトレーションテストを通じた評価を実施した．その結果，診断対象システムの構成や攻撃手法や過去のセキュリティ事故の教訓を踏まえ，ビジネス環境に則した形で対策の優先度を決定できた等の効果があった．一方で，現状ではビジネスにおける機密性・完全性・可用性の重視の度合に基づく重み付けの判断基準が定性的な表現に留まっているため，評価結果が評価者に依存するという課題が判明した．より正確な評価を行うためには，定量的な重み付けの定義が必要である．今後，このような課題の解決を通じて評価の最適化に取り組んでいく．
抄録(英)	Risks in corporations mean business risks, and a cyber security (cyber attack) is positioned as one of the important business risks. Risks in cyber security are generally analyzed and evaluated based on vulnerabilities and threats information. For example, Common Vulnerability Scoring System (CVSS) is popular as a vulnerability evaluation method. However, existing methods, including CVSS, calculate the severity of vulnerability by comprehensively judging a large number of evaluation items. Therefore, there can be differences between risk values calculated by these methods and judged by evaluators (penetration testers) who consider the characteristics of the business environment. Thus, we defined two types of evaluation criteria on a risk: the impact and the exploitability. The former is the degree of influence on the business based on the existing methods. The latter is the possibility of successful attacks that is reflected on the environment and conditions of the attacks from the perspective of attackers. We conducted evaluations through vulnerability assessments and penetration tests using our criteria. As a result, it worked for the evaluators to determine the priority of countermeasures in accordance with the business environment based on some factors such as the configuration of the system, the possible attack methods and the lessons learned from past security accidents. On the other hand, we found an issue that the result of judgements depends on the evaluators because the criteria for weighting the importance measure of CIA (Confidentiality, Integrity and Availability) on the business are only qualitative at present. In order to make a more accurate evaluation, we need more quantitative criteria. In the future, we will work on optimizing the evaluation by solving such a problem.
キーワード(和)	サイバーセキュリティ / リスク分析 / CVSS / 脆弱性診断 / ペネトレーションテスト
キーワード(英)	Cyber Security / Risk Analysis / CVSS / Vulnerability Assessment / Penetration Test
資料番号	IN2020-49
発行日	2021-01-11 (IN)

研究会情報
研究会	IN
開催期間	2021/1/18(から2日開催)
開催地（和）	オンライン開催
開催地（英）	Online
テーマ（和）	コンテンツ配信/流通、ソーシャルネットワーク(SNS)、データ分析・処理基盤、ビッグデータ及び一般
テーマ（英）	Contents Distribution, Social Networking Services, Data Analytics and Processing Platform, Big data, etc.
委員長氏名（和）	石田 賢治(広島市大)
委員長氏名（英）	Kenji Ishida(Hiroshima City Univ.)
副委員長氏名（和）	波戸 邦夫(インターネットマルチフィード)
副委員長氏名（英）	Kunio Hato(Internet Multifeed)
幹事氏名（和）	小畑 博靖(広島市大) / 樫原 俊太郎(KDDI総合研究所) / 谷口 展郎(NTT) / 星野 文学(NTT)
幹事氏名（英）	Hiroyasu Obata(Hiroshima City Univ.) / Shuntaro Kashihara(KDDI Research) / Noburo Taniguchi(NTT) / Fumitaka Hoshino(NTT)
幹事補佐氏名（和）
幹事補佐氏名（英）

講演論文情報詳細
申込み研究会	Technical Committee on Information Networks
本文の言語	JPN
タイトル（和）	［招待講演］サイバーセキュリティにおけるリスク分析の手法と実態
サブタイトル（和）
タイトル（英）	[Invited Talk] Risk Analysis Methods and Actual Conditions in Cyber Security
サブタイトル（和）
キーワード(1)（和/英）	サイバーセキュリティ / Cyber Security
キーワード(2)（和/英）	リスク分析 / Risk Analysis
キーワード(3)（和/英）	CVSS / CVSS
キーワード(4)（和/英）	脆弱性診断 / Vulnerability Assessment
キーワード(5)（和/英）	ペネトレーションテスト / Penetration Test
第 1 著者 氏名（和/英）	園田 健太郎 / Kentaro Sonoda
第 1 著者 所属（和/英）	日本電気株式会社(略称：NEC) NEC Corporation(略称：NEC)
第 2 著者 氏名（和/英）	中島 春香 / Haruka Nakashima
第 2 著者 所属（和/英）	日本電気株式会社(略称：NEC) NEC Corporation(略称：NEC)
発表年月日	2021-01-18
資料番号	IN2020-49
巻番号（vol）	vol.120
号番号（no）	IN-311
ページ範囲	pp.37-37(IN),
ページ数	1
発行日	2021-01-11 (IN)