脅威の分類(1) - Short Octopus の独言(はてな)倶楽部

脅威の分類

脅威にはどのようなものがあるのかを考えて見ます．
ここでまた車の例に戻って考えて見ましょう．自動車が晒される脅威にはどのようなものがあるでしょうか．まず盗難などが思い浮かびます．次に車の中を覗くという脅威があります．地震や洪水などの自然災害による脅威もあります．時には，部品に不具合があり，リコールが行われることもあります．テレビや映画に出てくるように，ブレーキに細工をして犯罪につなげるようなことも，おそらくあるでしょう．
こうした脅威を分類することで，脅威の本質的な原因がつかみやすくなります．そこで，脅威を以下のように分類します．

環境的脅威(E: Environmental threat)
人為的脅威(H: Human-induced threat)
意図的脅威(D: Deliberate threat)
偶発的脅威(A: Accidental threat)

環境的脅威は，自然災害などの文字通り環境によってもたらされる脅威です．人為的脅威は人の行為によってもたらされる脅威で，これはさらに意図的脅威と偶発的脅威に分類されます．意図的脅威は，いわば悪意によって行われる脅威で，盗難や覗き見などが相当します．偶発的脅威とは，意図的脅威とは反対に，偶然などで発生する脅威で，リコールなどの部品の不具合が相当します．
この分類は，JIS X 0036-3(ISO/IEC 13335-3)付属書Cで記述されている分類です．同書には脅威の例と分類のどれに当てはまるかを示した記述がありますので，表にしてみました．なお，同書では，「意図的脅威」を「故意的脅威」と表現しています．

表 1-1 脅威と分類

D:故意的脅威，A:偶発的脅威，E:環境的脅威

項目	D	A	E
地震			Ｅ
洪水	Ｄ	Ａ	Ｅ
台風			Ｅ
落雷			Ｅ
争議行動	Ｄ	Ａ
爆破行為	Ｄ	Ａ
武器の使用	Ｄ	Ａ
火事	Ｄ	Ａ
故意の損害	Ｄ
停電		Ａ
断水		Ａ
空調故障	Ｄ	Ａ
ハードウェアの故障		Ａ
電力の不安定		Ａ	Ｅ
極端な温度および湿気	Ｄ	Ａ	Ｅ
ほこり			Ｅ
電磁波放射	Ｄ	Ａ	Ｅ
静電荷			Ｅ
盗難	Ｄ
記憶媒体の不正使用	Ｄ
記憶媒体の劣化			Ｅ
操作員のエラー	Ｄ	Ａ
保守のエラー	Ｄ	Ａ
ソフトウェアの故障	Ｄ	Ａ
不正なユーザによるソフトウェアの使用	Ｄ	Ａ
不正な方法でのソフトウェアの使用	Ｄ	Ａ
ユーザIDの偽り	Ｄ
ソフトウェアの違法な使用	Ｄ	Ａ
悪意のあるソフトウェア	Ｄ	Ａ
違法なソフトウェアの輸入／輸出	Ｄ
不正なユーザによるネットワークへのアクセス	Ｄ
不正な方法でのネットワーク設備の使用	Ｄ
ネットワーク構成要素の技術的障害		Ａ
送信エラー		Ａ
回線の損傷	Ｄ	Ａ
トラフィックのオーバーロード	Ｄ	Ａ
盗聴	Ｄ
通信への侵入	Ｄ
トラフィック分析	Ｄ
メッセージの経路選択の誤り		Ａ
メッセージの経路変更	Ｄ
否認	Ｄ
通信サービス(ネットワークサービス)の障害	Ｄ	Ａ
スタッフ不足		Ａ
ユーザのエラー	Ｄ	Ａ
資源の誤用	Ｄ	Ａ

(出展：JIS TR X0036-ITセキュリティマネジメントのガイドライン(ISO/IEC TR 13335-3:1998)付属書C)

意図的脅威と偶発的脅威は，JIS X5004:1991(ISO 7498-2:1989) 附属書A 「OSI安全保護に関する予備知識」の中でも定義されています．

A.2.4.1偶発的脅威
偶発的脅威とは，計画的な意図によらずに発生した脅威を言う．現実に発生した偶発的脅威の例は，システムの故障，誤操作及びソフトウェアのバグがある．
A.2.4.2意図的脅威
意図的脅威は，簡単に利用できる監視ツールを利用して行う普通の試験から，システムに関する専門的な知識による複雑な脅威までを含む．意図的脅威が実現される場合，それは攻撃とみなしてもよい．

このように，脅威の原因を元に分類しました．脅威の種別を分類することで，対策の方法を考える助けになります．