脅威モデリングとは何ですか？

システムやアプリケーションに対する脅威を体系的に洗い出し、リスクの優先度を評価する手法。設計段階で行うことで効率よく対策を打てる。

脅威モデリングのポイントは？

「何を守りたいか」「誰が攻撃するか」「どう攻撃されるか」を体系的に分析する手法。MicrosoftのSTRIDEモデルが代表的で、6種類の脅威カテゴリに分けて漏れなく洗い出す。開発の設計段階で実施すると、後から修正するよりコストが大幅に抑えられる。DFD（データフロー図）を描いて信頼境界をまたぐ箇所を重点的に分析するのが定番の進め方

【きょういもでりんぐ】

脅威モデリングとは？

💡 泥棒の気持ちになって、自分の家の弱点を先に見つけておく作戦

📌 このページのポイント

「何を守りたいか」「誰が攻撃するか」「どう攻撃されるか」を体系的に分析する手法
MicrosoftのSTRIDEモデルが代表的で、6種類の脅威カテゴリに分けて漏れなく洗い出す
開発の設計段階で実施すると、後から修正するよりコストが大幅に抑えられる
DFD（データフロー図）を描いて信頼境界をまたぐ箇所を重点的に分析するのが定番の進め方

STRIDEモデルの6つの脅威カテゴリと分析フロー

ひよこ

脅威モデリングって、何が怖いか想像するってこと？

ペンギン先生

そうそう、近いイメージだよ！自分のシステムを攻撃者の目線で見て「ここから侵入できそう」「このデータが盗まれそう」って弱点を先に見つけておく手法なんだ。

ひよこ

STRIDEっていうのをよく聞くけど、何なの？

ペンギン先生

STRIDEはMicrosoftが考えた脅威の分類方法だよ。Spoofing（なりすまし）、Tampering（改ざん）、Repudiation（否認）、Information Disclosure（情報漏えい）、Denial of Service（サービス妨害）、Elevation of Privilege（権限昇格）の頭文字を取ったものなんだ。

ひよこ

6つもあると覚えるの大変だね…。全部チェックするの？

ペンギン先生

そこがSTRIDEの良いところで、チェックリストのように使えるんだ。「この機能になりすましの脅威は？」「改ざんの可能性は？」と順番に考えていくと、抜け漏れなく脅威を洗い出せるよ。

ひよこ

いつやるのがベストなの？

ペンギン先生

設計段階がベストだよ。コードを書いた後に「ここ危ない」と気づくと修正コストが何倍にもなるけど、設計図の段階なら変更も軽い。データフロー図を描いて、データが信頼境界をまたぐポイントを重点的に分析するのが王道のやり方だね。

ひよこ

STRIDE以外にも脅威モデリングの手法ってあるの？

ペンギン先生

あるよ！攻撃者の視点で攻撃ツリーを描くATTACK Tree、カードゲーム形式で脅威を議論するEoP（Elevation of Privilege Game）、LINDDUNというプライバシー特化のモデルもある。プロジェクトの特性に合わせて使い分けるのが実務では大事だね。

まとめ：ざっくりこれだけ覚えればOK！

「脅威モデリング」って出てきたら「システムの弱点を攻撃者目線で先回りして見つける手法」と思えればだいたいOK！

📖 おまけ：英語の意味

「Threat Modeling」＝脅威のモデル化

💬 threat（脅威）をmodeling（モデル化）して可視化・分析するという意味で、もともとMicrosoftが自社製品のセキュリティ強化のために体系化した手法なんだよ

← 用語集にもどる

脅威モデリング とは？

脅威モデリングとは？