脅威モデリングの極意 知っておくべき3つのフレームワークとその使いどころCybersecurity Dive

Gartnerのリスク管理戦略の専門家が、サイバー脅威から組織を保護するのに役立つ3つの脅威モデリング手法とその使いどころ、使う際の心構えを解説した。

» 2024年05月12日 07時00分 公開
[William DupreCybersecurity Dive]

この記事は会員限定です。会員登録すると全てご覧いただけます。

Cybersecurity Dive

編集部注: 以下は、Gartnerの技術専門家向けセキュリティおよびリスク管理戦略チームでバイスプレジデント兼アナリストを務めるウィリアム・デュプレ氏による寄稿記事である(注1)。


 度重なるサイバー侵害のニュースが続くにもかかわらず、企業は自らのシステムに影響を与える可能性のある脅威の理解に依然として苦労している。

 脅威と弱点が存在する可能性のある場所をより理解するために、セキュリティリーダーは脅威モデリングに注目すべきだ。これは、システム内において情報が露出しやすいポイントや、侵害に対する緩和策を特定するために使用されるリスク評価の一形態である。

 脅威モデリングはシステムの設計をレビューし、脅威と緩和策をリストアップし、制御について検証し、システムの攻撃対象領域をマッピングするためのアーキテクチャレベルのプロセスである。これはアプリケーションやネットワーク、デバイス、コンテナ、ソフトウェア、ハードウェアなどのあらゆるシステムや要素に適用できる。

3つの脅威モデリングとその使いどころ、心構えを学び、組織を保護せよ

 ここでは、考慮すべき3つの脅威モデリングとその使用方法を紹介する。

1.STRIDE

 STRIDEは、以下の6つの頭文字を取った略語であり、最も普及している脅威モデリングのフレームワークの一つだ。

  • Spoofing: 攻撃者がシステムの一部とやりとりするエンティティ(例えば、ユーザーやサービス)へのなりすましを試みること
  • Tampering: 攻撃者が何らかの結果を操作するためにデータの改ざんを試みること
  • Repudiation: ユーザーが行動を否定できるため、帰属が不明確になること
  • Information disclosure: システムが意図せずに情報を公開したり、悪質な目的のために使用される可能性のある情報を露出させたりすること
  • Denial of service: システムへの正常なアクセスが制限または阻止されること
  • Elevation of privilege: あるエンティティに、通常は与えられていない権限や認可が与えられること

2.LINDDUN

 データプライバシーに懸念を持つ組織は、より焦点を絞った脅威モデリングアプローチを取り入れるべきだ。そのようなフレームワークの一つがLINDDUNであり、プライバシーに関する脅威のカタログを提供し、プライバシーに影響を与える可能性のある幅広い設計上の問題を調査できる。

 LINDDUNは、以下のプライバシー脅威のタイプを表している。

  • Linking: データや行動を個人やグループに関連付けること
  • Identifying: 個人の識別情報を得ること
  • Nonrepudiation: 主張を個人に帰属させること
  • Detecting: 観察により、個人の関与を推測すること
  • Data disclosure: 個人データを過度に収集や保管、処理、共有すること
  • Unawareness: 個人情報の取り扱いに関して、個人への通知、関与、権限が不十分であること
  • Noncompliance: セキュリティ及びデータ管理のベストプラクティス、基準、法律から逸脱すること

 STRIDEとLINDDUNの方法論は、データフロー図によってシステムをモデル化し、脅威がシステムに影響を与える可能性のある箇所を特定し、それらの脅威の軽減のために、どこに対策を講じるべきかを決定することによって成り立つ。

3.セキュリティにおけるデシジョンツリー

 セキュリティにおけるデシジョンツリーは、攻撃者中心の脅威モデリング手法であり、ツリーの構造を使って攻撃がどのように展開するかをモデル化する。攻撃シナリオは、攻撃の各段階で攻撃者が取り得る行動と、攻撃者に対抗するためにシステムができることをモデル化する。

 このアプローチは、チームが攻撃者の考え方や意思決定プロセス、さらには攻撃の費用対効果を理解するのに役立つ。

脅威モデリングフレームワークを使用するタイミング

 組織はリスク評価プロセスの特定のタイミングでこれらのフレームワークを使用し、脅威について広範かつ一貫した理解を得るべきである。これらのポイントは、初期システム設計やレガシーシステムのレビュー、戦略的なITやビジネスの変更など、システム進化のさまざまなフェーズに合わせるべきだ。

 これらのフレームワークは、単独で使用することも、相互に補完する分析として使用することも可能だ。このプロセスは、「MITRE ATT&CK」やLockheed Martinの「Cyber Kill Chain」といったフレームワークによって定義された攻撃者の戦術や技術を取り入れることでさらに強化できる。

脅威を理解するために多様なテクニックを駆使する

 脅威モデリングを実施するためのフレームワークの使用は、組織のリスク評価プロセスにおける重要な要素である。脅威を理解するために、これらのフレームワークは手作業や自動化されたソリューションとともに使用されるべきだ。

 しかし、脅威を意識した考え方を組織に浸透させるには、多様なテクニックが必要となる。そのうちの幾つかは非日常的な手法であり、以下に挙げる手法は脅威モデリングの技術の核心に迫るものである。

  • The devil’s advocate: 組織は固定観念から脱却し、既存の仮定に挑戦する必要がある。自己満足は不安につながる。現状から目覚めるために、組織には適切な人材やプロセスが必要だ
  • Analogical thinking: ときには、身近なものと理解できないものとの間に関連性を見いだすことが重要である。そのような関連性は、新しく複雑な問題を理解する助けとなり、そのような問題の伝達にも役立つ
  • Model once, apply to many: 組織は通常、数百から数千のアプリケーションやシステムを活用している。考慮しなければならないのは、これらのシステムやアプリケーションが、あらゆる面で固有のものであるとは限らない点だ。1つの脅威モデルから得られた教訓が、複数のシステムやアプリケーションに適用できる可能性がある

 組織内のさまざまな役割の人々が、脅威モデリングの演習に参加することが重要だ。そうすることで脅威の全景を完全に描き出せる。

 例えばビジネスロールは、モデル化されている内容にコンテクストを提供するのに役立ち、セキュリティロールは、脅威がどのように展開する可能性があるかについてのガイダンスを提供する。また、アーキテクトと開発者は、アプリケーションとインフラストラクチャのコンポーネントに関する洞察を提供する。

 これらの脅威モデリング技術のいずれかを使用することで、従業員はより脅威を意識するようになり、サイバー活動に関してより適切な判断を下せるようになる。

(注1)William Dupre(Gartner)

© Industry Dive. All rights reserved.