脅威モデリングは、セキュリティ分野で広く認識されている手法です。アプリケーションの公開後ではなく、設計段階で潜在的な脅威を洗い出し、どのように悪用される可能性があるのかを分析します。システム設計や開発段階から取り入れることで、事前対応としてコスト効率の良い、セキュリティ対策の実施が期待されます。

この記事では、脅威モデリングの基礎知識や実施手順、代表的手法をわかりやすく解説していきます。

脅威モデリングとは？

脅威モデリングとは、システムやアプリケーションに潜むセキュリティ上の脅威を特定し、リスクを評価して適切な対策を講じるための構造化された手法です。情報資産や情報セキュリティの三要素である機密性・完全性・可用性を保護する観点から行われます。

脅威モデリングが重要視される理由は、主に下記の3つです。

1. 悪意のある第三者やサイバー攻撃などによって特定されてしまう前に、対策を講じられる
2. 脅威モデリングを通じて組織内のセキュリティ意識を高めることで、従業員が一丸となってセキュリティを重視するようになる
3. 従業員が潜在的な脅威と対策について理解することで、日常的なセキュリティ意識の向上につながる

脅威モデリングは、セキュリティ対策が事後対応ではなく、事前対応として機能するため、コスト効率が高くなるというメリットがあります。

脅威モデリングの流れ

脅威モデリングは、一般的に下記のような流れで構成されています。

1.システムの可視化と構造化

脅威モデリングの最初の段階は、保護するシステムを把握し可視化することです。システム内のデータの流れや、重要なデータの保管先などの可視化に重点を置いています。あまり細かくなりすぎないように、抽象度の調整が重要なポイントです。

2.脅威の特定

システムのモデル化が完了したら、次に潜在的な脅威の特定です。脅威の特定には、STRIDE、DREAD、PASTAなどの代表的な脅威モデリング手法を活用することができます。それぞれ、異なる観点から脅威を洗い出すために活用されます。

3.リスク評価

脅威を特定したら、次にそれぞれの脅威がもたらすリスクを評価します。リスクマトリクスを作成し各脅威について、発生可能性と影響度の評価が一般的な方法です。例えば、発生可能性と影響度をそれぞれランク付けします。具体的には、「高・中・低」の3段階で評価し、その組み合わせによってリスクレベルを決定する方法があります。

4.セキュリティ対策の実施

リスク評価に基づいて、各脅威に対する具体的なセキュリティ対策を計画・実施します。システムの可視化から始まり、脅威の特定、リスク評価、セキュリティ対策の実施という一連のプロセスを通じて、セキュリティリスクの最小化を図ります。

セキュリティ対策の実施後は、効果を評価し、必要に応じて改善を行うというPDCAサイクルを回すことが重要です。セキュリティ対策は一度実施して終わりではありません。新たな脅威の出現や環境の変化に応じて、継続的に見直していく必要があります。

代表的な手法をわかりやすく解説

ここまでで、脅威モデリングの基礎知識や実施手順をお伝えしてきました。脅威の特定には色々な手法があります。最大限の効果を引き出すためには、状況に応じて適切な手法を用いて、使い分けることが重要です。

次の項目では、代表的な手法をわかりやすくお伝えしていきます。

STRIDE

マイクロソフト社が関与したモデルが「STRIDE」です。下記の6つのカテゴリに基づき脅威を分類・分析します。

1. Spoofing（なりすまし）
2. Tampering（改ざん）
3. Repudiation（否認）
4. Information Disclosure（情報漏えい）
5. Denial of Service（サービス拒否）
6. Elevation of Privilege（権限昇格）

STRIDEモデルはシステム設計時に、特定の要素がどのような脅威にさらされるかを評価するために広く利用されています。

DREAD

リスク管理に特化したモデルが「DREAD」です。下記の5つの要因に基づき、それぞれスコア化して合計点で脅威レベルを評価します。

1. 再現性
2. 悪用可能性
3. 損害の可能性
4. 影響度
5. 発見可能性

脅威の重大度を数値化して優先順位付けを行い、何を優先的に対策すべきか判断する際に役立ちます。

PASTA

大規模かつ複雑なシステム向けに、設計されているモデルが「PASTA」です。下記の7段階のプロセスがあります。

1. ビジネス目標の定義
2. 技術的範囲の定義
3. アプリケーションの分解
4. 脅威の分析
5. 脆弱性の特定
6. 攻撃モデリング
7. リスクの分析と対策の優先順位付け

ビジネス目標と技術的要件の両方を考慮しながら、潜在的な攻撃シナリオを特定します。

その他の手法

その他にも色々な手法が存在します。例えば、「VAST」や「TRIKE」「SQUARE」などの手法です。それぞれ異なるニーズや環境に応じて使い分けられます。アプリやシステムのセキュリティ脅威を可視化して、迅速な対策を講じるためには、適切な手法を選択しなければいけません。

脅威モデリングを成功させるポイント

脅威モデリングの効果を最大限に引き出し、継続性を保つためには、いくつかの押さえておくべきポイントがあります。次の項目では、脅威モデリングを成功させるポイントをお伝えしていきます。

適切なツール選びとチーム構成

例えば、自動化ツールやAI技術を活用することで、効率化と精度向上も期待できます。チーム構成も重要です。セキュリティエンジニアだけではなく、社内にいるITに詳しい人材も巻き込むことで、多角的な視点から分析が可能になります。

継続的なプロセス改善の重要性

脅威モデリングは一度実施して終わりではありません。システム変更や新たな脅威が発生した際には、継続的に見直しと更新を行う必要があります。自社で関連するすべての部門が、脅威モデリングの重要性を理解して、組織全体で取り組むことが大切です。そうすることで、新しい課題にも柔軟に対応できる体制が整います。

まとめ

脅威モデリングは、現代のサイバーセキュリティ対策において重要な手法です。網羅的な分析を行うため、見落とされがちな脅威も洗い出すことができます。効果的な取り組みを行うためには、組織全体での協力体制が必要になるでしょう。組織が常に最新のセキュリティ状態を維持し、サイバー攻撃やセキュリティリスクを、最小限に抑えられるように定期的な更新が求められます。