脅威モデリング(きょうぎもでりんぐ)
最終更新:2026/4/25
脅威モデリングは、システムやアプリケーションに対する潜在的な脅威を特定し、優先順位付けするための体系的なプロセスである。
別名・同義語 脅威分析リスクモデリング
ポイント
脅威モデリングは、セキュリティ対策の設計と実装において、攻撃者の視点を取り入れることで、より効果的な防御策を講じることを目的とする。
脅威モデリングとは
脅威モデリングは、システム開発の初期段階からセキュリティを考慮に入れるための手法です。単に脆弱性を洗い出すだけでなく、攻撃者がどのような経路でシステムに侵入し、どのような損害を与える可能性があるかを予測し、対策を講じます。
脅威モデリングのプロセス
- システムの分解: システムを構成する要素(データフロー、コンポーネント、インターフェースなど)を特定します。
- 脅威の特定: 各要素に対する潜在的な脅威(不正アクセス、データ改ざん、サービス停止など)を洗い出します。
- 脅威の分類: 特定された脅威を、その種類や影響度に応じて分類します。
- リスクの評価: 各脅威のリスク(発生可能性と影響度)を評価します。
- 対策の策定: リスクの高い脅威に対して、適切な対策を策定します。
脅威モデリングの手法
脅威モデリングには、様々な手法が存在します。代表的なものとして、STRIDE、DREAD、PASTAなどが挙げられます。
- STRIDE: Microsoftが提唱した手法で、Spoofing(なりすまし)、Tampering(改ざん)、Repudiation(否認)、Information Disclosure(情報漏洩)、Denial of Service(サービス妨害)、Elevation of Privilege(権限昇格)の6つの脅威カテゴリを用いて分析します。
- DREAD: 脅威の深刻度をDamage potential(損害の可能性)、Reproducibility(再現性)、Exploitability(悪用可能性)、Affected users(影響を受けるユーザー数)、Discoverability(発見の容易さ)の5つの要素で評価します。
- PASTA: People, Asset, STRIDE, and Threat Analysisの略で、ビジネス目標とリスクを考慮した脅威モデリング手法です。
脅威モデリングのメリット
脅威モデリングを導入することで、以下のメリットが期待できます。
- セキュリティインシデントの発生リスクを低減できる。
- セキュリティ対策の費用対効果を高められる。
- 開発チーム全体のセキュリティ意識を向上させられる。
- コンプライアンス要件への対応を支援できる。