関連するソリューション
セキュリティサービス
セキュリティ製品
IDアメリカ
ハムザ・アフメッド
突然ですが、もしあなたが1億円の現金を持って自宅まで帰らなければならないとしたら、どのように行動するでしょうか。多くの人は、まず最も安全な方法を考えるはずです。危険なエリアを避けるルートを選んだり、公共交通機関ではなくタクシーを利用したり、注目されないようにカバンを工夫したりするでしょう。
このように、危険を想定し、身を守るために行動を変えるという本能的なプロセスこそが「脅威モデリング」です。私たちは自然と日常の中で、守るべきものを守るためにリスクを評価し、判断を行っています。脅威モデリングは、その本能的な行動を体系化し、再現性のある手法として整理したものと言えます。
歴史を振り返ると、人々や国家は常に脅威を分析し、自らを守ってきました。古代文明の軍事戦略、国家安全保障の計画、そして現代のデジタル防衛へと続いています。技術の発展に伴い、脅威モデリングは軍事や諜報分野で重要な役割を果たすようになり、特に初期のネットワークシステムを守る際に発展しました。その後、この考え方は進化を続け、現在のサイバーセキュリティ分野で用いられる多様な脅威モデリング手法へとつながりました。インターネットの普及とサイバー攻撃の増加により、さまざまな環境や技術、攻撃手法に対応する新たなフレームワークが生まれました。興味深いことに、近年ではこうしたサイバー分野のモデルが、再び防衛や政府機関の計画に取り入れられ始めています。
脅威モデリングは軍事的な背景を持つものの、現在ではデジタル時代の企業や組織にとって欠かせない基盤となっています。言い換えれば、今や「ほぼすべての人」に関係する考え方です。今日、企業は規模に関わらず、システムやユーザーデータを守り、サイバー攻撃に備えるために脅威モデリングを活用しています。そして、私たち一人ひとりの生活もデジタル化が進む中、個人にとっても理解しておく価値が高い概念になっています。多くの人が「セキュリティ思考」を持つようになれば、悪意ある攻撃者の成功する確率は大きく下がります。
本記事では、サイバーセキュリティを解説するだけではなく、日常生活で役立つ「実践的な視点」をお伝えします。脅威モデリングを自分のデジタル生活に応用することで、自分自身を守ることができ、社会全体の安全性向上にも貢献できるのです。
脅威モデリングの種類
これまでも多くの脅威モデリング手法が登場してきましたが、本記事では2024年時点で広く活用されている代表的な手法を取り上げます。- STRIDE:脅威を6つに分類(なりすまし、改ざん、否認、情報漏えい、サービス妨害、権限昇格)。
- OWASP Top 10:実際の現場で特に深刻なWebアプリのリスクをまとめたもの。
- Shostackの4つの質問:シンプルで繰り返し使える、議論を整理するための手法。
- MITRE ATT&CK:攻撃者の戦術・手法を体系化し、防御や検知の指針を提供。
- アタックツリー(Attack Trees):攻撃者の目的達成までの手順や選択肢を可視化する図式化手法。
近年、従来の「IT企業」に限らず、多種多様な業界が高度なデジタル運用を行うようになり、脅威モデリングの重要性はさらに高まっています。セキュリティ対策はもはや「余裕があれば取り組むもの」ではなく、ビジネスの必須条件となっているのです。
本記事では、手法を単に紹介するだけでなく、実際のシナリオでどのように活用できるかを説明します。
まずは、想像してみてください。あなたは大手EC企業の新任セキュリティチームリーダーに就任したばかりです。毎日数千件の取引データを処理するこの環境で、最初に任された課題は「想定される脅威を洗い出し、対策を提示すること」。
その第一歩こそ──脅威モデリングの構築なのです。
脅威モデリング・マニフェスト
脅威モデリングを始める前に、「どんな考え方で取り組むべきか」を押さえておくことが重要です。そこで役立つのが、Threat Modeling Manifesto(脅威モデリング・マニフェスト)です。これは、経験豊富な実務家たちによって2020年に発表されたもので、脅威モデリングの本質を「価値」と「原則」としてまとめた指針です。新しい手法やフレームワークは今後も登場しますが、効果的な脅威モデリングにおいて揺らがない核心は共通しています──何を作っているかを理解し、どのように失敗し得るかを考え、どう対処するかを決め、継続的に改善することです。
マニフェストが掲げる5つの価値
- チェックリスト型の形骸化した遵守よりも、設計上の課題を発見し解消する文化を重視する。
- プロセスや手法、ツールよりも、“人”と“協働”を優先する。
- 単なるセキュリティやプライバシーの“断片的評価”よりも、理解を深め続ける“旅”として捉える。
- 議論するだけでなく、“実際に脅威モデリングを行うこと”を重視する。
- 一度やって終わりではなく、継続的な改善を重視する。
マニフェストが示す4つの原則
- 脅威モデリングの最も大きな目的は、早期かつ継続的な分析を通じてシステムのセキュリティとプライバシーを向上させることである。
- 脅威モデリングは、組織の開発プロセスに沿い、システムを無理のない範囲に分けて反復的に進めるべきである。
- 脅威モデリングの成果は、関係者にとって“価値がある”ものでなければ意味がない。
- 価値ある成果を生むには、共通理解を築くための対話が不可欠であり、文書化はその理解を記録し、評価可能にするために重要である。
脅威モデリングの作り方
脅威モデリングが必要だと判断した場合、次に悩むのは「どの手法を使うべきか」という点です。1つだけ選ぶのではなく、よく使われる複数の手法を組み合わせて活用するという考え方もあります。(なお、STRIDEについては前号で紹介したため、ここでは他の手法に焦点を当てます。)一見すると手間がかかるように思われますが、実際のサイバーセキュリティ現場では、年間で10件から100件以上の脅威モデリングを作成することも珍しくありません。
複数のモデルを用いるアプローチは、Threat Modeling Manifestoの考え方にも一致しています。どんな優れた手法でも、1つだけでシステム全体を正確に表現することはできません。異なるフレームワークが異なるリスクを可視化し、定期的に更新することで思い込みや見落としを防ぐことができます。
それでは、最も広く採用されている手法から見ていきましょう。
OWASP Top 10
Webアプリケーションのリスクを把握する上で、世界中で広く利用されているのがOWASP Top 10です。STRIDEが“脅威の種類”に着目するのに対し、OWASPは実際のアプリケーションにおいて特に深刻なセキュリティリスクに焦点を当てています。現実の攻撃動向に合わせ、数年ごとに改訂されることも特徴です。OWASP Top 10は、Webアプリケーションの脆弱性に直接紐づいているため、セキュリティチームだけでなく開発チームにも最初に参照されることが多いフレームワークです。特にEC(eコマース)サービスでは、ユーザー認証、決済、個人情報、外部サービス連携などを扱うため、OWASPへの準拠は欠かせません。
以下は、OWASP Top 10の各リスクと、それがECサイトでどのように表れるかの例です。
| カテゴリ |
説明 | ECサイトでの例 |
|---|---|---|
| A01: アクセス制御の不備 |
本来アクセスできないデータや機能にアクセスできてしまう。 |
URLを書き換えるだけで他のユーザーの注文履歴が閲覧できてしまう。 |
| A02: 暗号化の不備 |
データ暗号化や秘密情報の管理が不適切。 |
顧客のクレジットカード情報が暗号化されず保存されている。 |
| A03: インジェクション |
信頼できない入力がDBやシステムの命令を改変してしまう。 |
検索欄にSQL文を入力すると、全ユーザー情報が抜き取られる。 |
| A04: 設計上の不備 | セキュリティを考慮した設計やパターンが不足。 |
ログイン試行回数に上限がなく、総当たり攻撃が可能。 |
| A05: セキュリティ設定ミス |
設定不備により攻撃にさらされる。 |
管理画面が初期パスワードのまま、または不要なポートが開放されている。 |
| A06: 脆弱または古いコンポーネント |
古いライブラリや依存パッケージを使用。 |
脆弱性が報告されている決済処理ライブラリを更新せずそのまま使用。 |
| A07: 認証とセッション管理の不備 |
ログインやセッション管理に問題がある。 | セッショントークンが長時間無効化されず、乗っ取られたまま利用できてしまう。 |
| A08: ソフトウェアおよびデータの完全性欠如 | コードやデータが改ざんされる恐れ。 |
外部ライブラリのアップデートにマルウェアが仕込まれていた。 |
| A09: ログと監視の不備 |
攻撃を検知・記録できず発見が遅れる。 |
不審なログイン試行が検知・記録されず、攻撃者が長期間潜伏。 |
| A10: SSRF(サーバー側リクエスト フォージェリ) |
サーバーが不正なリクエストを送らされる。 | APIを悪用され、クラウド内部メタデータに不正アクセスされる。 |
Shostackの「4つの質問」フレームワーク
Microsoftにおける脅威モデリング手法の確立に大きく貢献したアダム・ショウスタック(Adam Shostack)が提唱したフレームワークは、脅威モデリングを4つの核心的な質問にまとめた、シンプルで取り組みやすい方法です。従来の手法が複雑に感じられるチームや、まずは軽量な手法から始めたい組織に最適です。STRIDEやOWASPのように脅威の種類を網羅的に列挙するのではなく、ショウスタックの手法は**脅威モデリングを行う際に“どのように考えるか”**に重点を置いています。システムを理解し、リスクを洗い出し、対処し、改善する──という流れを明確に示してくれます。
4つの質問
1. What are we building?(何を作っているのか?)システムの範囲や仕組みを定義し、全体像を把握します。
EC企業であれば、Webサイトやモバイルアプリ、ユーザーアカウントと購入フロー、決済システム、顧客・注文データベースなどが対象となります。
この段階では、データの流れや各要素の関係性を図(データフロー図など)で可視化することが効果的です。
2. What can go wrong?(何が起こり得るか?)
脅威、弱点、攻撃経路を洗い出します。
例としては、フィッシングによるアカウント乗っ取り、インジェクション脆弱性による顧客データの漏えい、決済APIの悪用による不正返金などが挙げられます。
このステップでは、漏れがないようSTRIDEやOWASPを補完的に活用することが有効です。
3.What are we going to do about it?(どう対処するのか?)
脅威を軽減するための対策やセキュリティコントロールを決めます。
例として、多要素認証(MFA)の導入、入力値検証によるインジェクション対策、管理者アカウントの最小権限化などが挙げられます。
重要なのは、脅威の発生可能性と影響度を下げるという観点です。
4. Did we do a good job?(うまくできたか?)
脅威モデリングと対策の有効性を振り返り、評価します。
システム変更後に再検証したり、対策が意図した通りに機能しているか確認したり、得られた知見を次回に活かすことで、モデルを改善していきます。
ショウスタックのフレームワークは、Threat Modeling Manifestoの考え方にも合致しており、継続的な改善を促します。また、わかりやすく、再現性が高いため、セキュリティの専門知識が豊富でないチームでも活用できます。セキュリティ文化を根付かせる第一歩として非常に有効な手法です。
MITRE ATT&CKフレームワーク
MITRE ATT&CKフレームワークは、実際の攻撃者が用いる戦術・技術・手順(TTPs:Tactics, Techniques, and Procedures)を体系化した、世界的に認知されている知識ベースです。STRIDEやOWASPが「弱点の洗い出し」に重きを置くのに対し、ATT&CKは攻撃者がどのように行動し、攻撃を進めるのかという「現実の攻撃プロセス」を理解するためのフレームワークとなっています。実際のインシデントデータに基づいて構築されている点が特徴で、脅威モデリングだけでなく、セキュリティ監視や防御計画にも有効です。
ATT&CKでは、攻撃者の行動を次の2つの観点に基づいて整理します。
- Tactics(戦術):攻撃の各段階での目的
- Techniques(技術):その目的を達成するための具体的手法
脅威モデリングでATT&CKを使う理由
ATT&CKを活用することで、以下のメリットが得られます。- 自社環境における現実的な攻撃ルートを把握できる
- 攻撃者が初期侵入から影響を与えるまでの攻撃の流れを理解できる
- 実際の攻撃戦術に沿った多層防御(Defense-in-Depth)を構築できる
- インシデント対応や検知能力の向上につながる
- 現在のセキュリティ対策が“本当に機能しているか”を検証できる
ECサイトにATT&CKを適用すると?
例として、「顧客データを窃取しようとする攻撃者」が想定される場合、以下のような流れで攻撃が進む可能性があります。| 戦術(Tactic) |
技術(Technique) |
例 |
|---|---|---|
| 初期侵入(Initial Access) |
フィッシング | 社員が偽メールに騙され、認証情報を入力 |
| 権限昇格(Privilege Escalation) |
脆弱性悪用 |
古い管理用プラグインの脆弱性を突かれる |
| 認証情報取得(Credential Access) |
Cookie/トークンの窃取 | 管理者セッションが奪われる |
| 横移動(Lateral Movement) |
リモートサービス悪用 |
サポート用システムから本番環境へ移動 |
| 情報収集(Collection) |
DBダンピング |
顧客+決済情報が抜き取られる |
| 搬出(Exfiltration) |
暗号化通信による送信 |
攻撃者のサーバーへデータ送信 |
| 影響(Impact) |
不正取引 |
転売目的の偽注文が大量に発生 |
このように、ATT&CKを用いると、攻撃の「入口」だけでなく、「どのように進行し、最終的な被害に至るのか」を段階的に理解できます。
ATT&CKがもたらすセキュリティ向上
ATT&CKを活用することで、以下のような“検知・対応の抜け漏れ”に気付くことができます。- 異常なログインや権限昇格を検知できているか?
- システム間の横移動を監視し、異常時にアラートを上げられるか?
これにより、脅威モデリングは一度やって終わりの活動ではなく、継続的かつ測定可能なセキュリティ実践へと進化します。
特にECサービスにおいては、ATT&CKを取り入れることで、脅威モデリングが理論上のものではなく、実際の攻撃行動に基づいたものになります。
氷山の一角にすぎない
本記事で紹介した手法は、脅威モデリング全体のほんの一部にすぎません。PASTAやDREADなど、他にもよく知られた手法が多数あり、それぞれが異なる視点でリスクを分析でき、状況に応じて適したアプローチとなります。セキュリティチームは、潜在的な脅威をより立体的に把握するために、複数のフレームワークを組み合わせて活用することが一般的です。また、多くの組織は最終的に自社環境に合わせた独自のモデルを構築します。なぜなら、どんな優れた手法でも、単独ではすべての環境に最適化できないからです。
Iriusのようなツールを使えば、脅威モデリングの作業を効率化できますが、最も重要なのは“手法を使いこなすための考え方”そのものです。フレームワークは思考を整理するためのガイドであり、あなたを縛るものではありません。自分たちの環境により適したアプローチが見つかったなら、柔軟に取り入れるべきです。
最後に
サイバー空間の脅威は年々増加し、デジタル世界はかつてないほど危険な場所になっています。記事の冒頭で、1億円の現金を持ち帰る状況を想像しましたが、今や私たちの個人データ、オンライン上のアイデンティティ、さらには会社のシステムへのアクセス権は、それと同等、あるいはそれ以上の価値を持つ場合があります。攻撃者はそれらを悪用し、金銭目的の不正、詐欺、恐喝、企業侵害へとつなげることができます。だからこそ私たちは、自分のデジタル存在を1億円の現金を扱うかのように慎重に守る必要があるのです。個人が小さな対策を積み重ねるだけでも、全体の安全性は大きく向上します。より多くの人がセキュリティ意識を持てば、攻撃者が成功する確率は下がり、企業、データ、そして社会全体がより安全になります。
当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。
エンジニアによるコラムやIDグループからのお知らせなどを
メルマガでお届けしています。
