Gartnerのリスク管理戦略の専門家が、サイバー脅威から組織を保護するのに役立つ3つの脅威モデリング手法とその使いどころ、使う際の心構えを解説した。
この記事は会員限定です。会員登録すると全てご覧いただけます。
編集部注: 以下は、Gartnerの技術専門家向けセキュリティおよびリスク管理戦略チームでバイスプレジデント兼アナリストを務めるウィリアム・デュプレ氏による寄稿記事である(注1)。
度重なるサイバー侵害のニュースが続くにもかかわらず、企業は自らのシステムに影響を与える可能性のある脅威の理解に依然として苦労している。
脅威と弱点が存在する可能性のある場所をより理解するために、セキュリティリーダーは脅威モデリングに注目すべきだ。これは、システム内において情報が露出しやすいポイントや、侵害に対する緩和策を特定するために使用されるリスク評価の一形態である。
脅威モデリングはシステムの設計をレビューし、脅威と緩和策をリストアップし、制御について検証し、システムの攻撃対象領域をマッピングするためのアーキテクチャレベルのプロセスである。これはアプリケーションやネットワーク、デバイス、コンテナ、ソフトウェア、ハードウェアなどのあらゆるシステムや要素に適用できる。
ここでは、考慮すべき3つの脅威モデリングとその使用方法を紹介する。
STRIDEは、以下の6つの頭文字を取った略語であり、最も普及している脅威モデリングのフレームワークの一つだ。
データプライバシーに懸念を持つ組織は、より焦点を絞った脅威モデリングアプローチを取り入れるべきだ。そのようなフレームワークの一つがLINDDUNであり、プライバシーに関する脅威のカタログを提供し、プライバシーに影響を与える可能性のある幅広い設計上の問題を調査できる。
LINDDUNは、以下のプライバシー脅威のタイプを表している。
STRIDEとLINDDUNの方法論は、データフロー図によってシステムをモデル化し、脅威がシステムに影響を与える可能性のある箇所を特定し、それらの脅威の軽減のために、どこに対策を講じるべきかを決定することによって成り立つ。
セキュリティにおけるデシジョンツリーは、攻撃者中心の脅威モデリング手法であり、ツリーの構造を使って攻撃がどのように展開するかをモデル化する。攻撃シナリオは、攻撃の各段階で攻撃者が取り得る行動と、攻撃者に対抗するためにシステムができることをモデル化する。
このアプローチは、チームが攻撃者の考え方や意思決定プロセス、さらには攻撃の費用対効果を理解するのに役立つ。
組織はリスク評価プロセスの特定のタイミングでこれらのフレームワークを使用し、脅威について広範かつ一貫した理解を得るべきである。これらのポイントは、初期システム設計やレガシーシステムのレビュー、戦略的なITやビジネスの変更など、システム進化のさまざまなフェーズに合わせるべきだ。
これらのフレームワークは、単独で使用することも、相互に補完する分析として使用することも可能だ。このプロセスは、「MITRE ATT&CK」やLockheed Martinの「Cyber Kill Chain」といったフレームワークによって定義された攻撃者の戦術や技術を取り入れることでさらに強化できる。
脅威モデリングを実施するためのフレームワークの使用は、組織のリスク評価プロセスにおける重要な要素である。脅威を理解するために、これらのフレームワークは手作業や自動化されたソリューションとともに使用されるべきだ。
しかし、脅威を意識した考え方を組織に浸透させるには、多様なテクニックが必要となる。そのうちの幾つかは非日常的な手法であり、以下に挙げる手法は脅威モデリングの技術の核心に迫るものである。
組織内のさまざまな役割の人々が、脅威モデリングの演習に参加することが重要だ。そうすることで脅威の全景を完全に描き出せる。
例えばビジネスロールは、モデル化されている内容にコンテクストを提供するのに役立ち、セキュリティロールは、脅威がどのように展開する可能性があるかについてのガイダンスを提供する。また、アーキテクトと開発者は、アプリケーションとインフラストラクチャのコンポーネントに関する洞察を提供する。
これらの脅威モデリング技術のいずれかを使用することで、従業員はより脅威を意識するようになり、サイバー活動に関してより適切な判断を下せるようになる。
(注1)William Dupre(Gartner)
© Industry Dive. All rights reserved.