脅威モデリングガイド
脅威モデリングとは何ですか?
サイバー攻撃にはさまざまな形があり、これらの攻撃に対する防御が困難な場合があります。私たちは国家サイバースペースのセキュリティ、ネットワークのセキュリティ、アプリケーションのセキュリティ、データのセキュリティ、そしてその間のすべてについて心配しています。セキュリティ専門家にとって難しいのは、攻撃者が千通りの方法で侵入する可能性があり、潜在的な侵入ポイントのそれぞれを保護する必要があることです。攻撃者はどこでも攻撃できますが、防御者はどこでも防御しなければなりません。考えられる各エントリ ポイントを保護し、攻撃ベクトルに対処する前に、まずそれらを識別する必要があります。ここでスレッド モデリングが登場します。
脅威モデリングは、潜在的な脅威を特定、列挙、分類、軽減する方法です。これは、さまざまな脅威や攻撃がどのように実現されるかを理解するために使用される予防的なアプローチです。脅威モデリングの目的は、資産の性質、最も可能性の高い攻撃ベクトル、攻撃者が最も求めている資産を考慮して、どのような対策を実装する必要があるかについて体系的な分析をセキュリティ チームに提供することです。脅威モデリングは、「どこが最も攻撃を受けやすいか?」、「どのような脅威が実行された場合、より大きな影響をもたらす可能性があるか?」、「これらの脅威を防ぐためにはどのような対策が必要か?」などの質問に答えます。
脅威モデリングはなぜ重要ですか?
サイバー攻撃の動的な性質により、脅威モデリングがセキュリティの基礎となります。セキュリティの攻撃面と防御面は常に変化しています。この変化に適切に対応するには、組織は防御を継続的に再評価し、進化させる必要があります。さらに、アプリケーションやシステムは攻撃に対して耐性を持つように設計する必要があります。ただし、回復力を実現するために必要な適切なセキュリティ制御を確立すると、経済的な影響が生じます。
脅威モデリングの基礎となる基本原則は、セキュリティのためのリソースが常に限られており、システム内のすべての脅威を軽減することが困難であるということです。したがって、限られたリソースをどのように有効に活用するかを決定する必要があります。組織はリスクに優先順位を付け、それに応じて対処する必要があります。リスクを判断する上で重要な要素は脅威です。脅威モデリングは、組織がシステムに関連する脅威シナリオを体系的に特定し、脅威を保護するための効果的な対策を実装するのに役立ちます。このため、脅威モデリングが不可欠です。これは、セキュリティ チームが、システムがどのように脆弱になる可能性があるか、および予想される脅威の重大度と影響に応じて修正の優先順位を付けるためにどのような制御修正が必要かを理解するのに役立ちます。
脅威モデリングがリスク評価にどのように適合するか
リスク評価では、資産、脅威、脆弱性を重大度や発生の可能性を含めて分析することで、セキュリティ リスクを特定します。一方、脅威モデリングでは、資産にさらに重点を置き、リスク評価中にそれらの資産とそのコンポーネントで見つかった脆弱性を悪用する可能性のある潜在的な脅威と攻撃ベクトルを特定することができます。さらに、資産を攻撃したいと考えている可能性が最も高いのは誰なのか、またどのように攻撃を成功させることができるのかも検討します。
実際、脅威モデリングは、システムまたはそのコンポーネントの攻撃側と防御側の側面をモデル化するリスク評価の一種です。攻撃者が資産やシステムを侵害するために実行する可能性のある一連のアクション、アクティビティ、およびシナリオを明確に記述した状況に応じた脅威イベントを生成することで、リスク評価プロセスを強化します。これは、セキュリティ チームがより的を絞った制御と対策を考案するのに役立ちます。以下の図は、脅威モデリングとリスク評価がどのように連携するかを示しています。
脅威モデリングプロセスのコンポーネント
脅威のモデリングにはさまざまなアプローチや方法論が使用されます。それについては次のセクションで説明します。ただし、これらの方法論にはすべて、共通するプロセスまたは論理フローがいくつかあります。次に、これらの基本的な論理フローを調べてみましょう。
プロジェクトチームと範囲を確立する :より包括的な脅威モデルを保証するには、脅威モデリング チームは可能な限り異種混合である必要があります。これには、経営幹部、ネットワーク エンジニア、開発者、セキュリティ マネージャーなどの主要な関係者が含まれる必要があります。次に、ターゲット システムの脅威モデリングを実行する前に、技術範囲、システム アーキテクチャ、システム コンポーネント、セキュリティ境界、データ フローなどの作業範囲を定義して説明します。これには、情報の収集と境界の境界設定が含まれます。
システムまたはアプリケーションを分解する : システム分解とは、システムをさまざまなコンポーネントに分解することです。これには、システム コンポーネントの特定、データ フローの描画、信頼境界の分割が含まれます。システムを分解する手法の 1 つは、データ フロー図 (DFD) の構築です。 DFD は、システム内のデータ フローとシステム状態内でユーザーが実行できるアクションを視覚的に表現することで、ユーザーがシステムについてより良い洞察を得るのに役立ちます。一部のモデルは、DFD の代わりにプロセス フロー図 (PFD) に依存します。完了すると、視覚的表現を使用して潜在的な脅威を特定し、列挙します。
考えられる脅威を特定します。 脅威の特定には、脅威ベクトルとイベントの特定と文書化が含まれます。次に、すべての潜在的なターゲットについて、危険が存在する場所を特定し、脅威シナリオと攻撃ツリーを使用して、悪用される可能性のある脆弱性を特定します。脅威モデリング ツールを使用して、この手順を自動化することもできます。
攻撃モデリング : 攻撃モデリングは攻撃者の侵入アプローチを記述し、ユーザーがシステムを防御するために必要な緩和制御を特定し、その実装に優先順位を付けることができます。システムに関連する脅威イベントを配置した後、それらを考えられる一連の攻撃に関連付けます。これには、攻撃のシーケンスをマッピングし、戦術、技術、手順を説明し、脅威シナリオを作成することが含まれます。 MITRE ATT&CK や Lockheed Martin Kill Chain などの攻撃フレームワークを使用して、攻撃をモデル化できます。
緩和策を実施する 。さまざまな段階での攻撃ベクトルとセキュリティ リスクを理解することで、適切な制御と対策を適用して、脅威や攻撃の可能性を軽減したり、その影響を最小限に抑えたりすることができます。これらの脅威を封じ込める戦略を策定します。これには通常、危険を回避すること、脅威の悪影響や可能性を軽減すること、脅威の全部または一部を別の当事者に移すこと、さらには特定の脅威の潜在的または実際の結果の一部またはすべてを受け入れることが含まれます。これらの戦略の逆を利用して機会に対応することもできます。
脅威モデリングのフレームワークと方法論
脅威モデリングを実行するために使用できる方法論とフレームワークがいくつかあります。脅威モデリング手法は、アプローチの焦点に従って分類できます。これらのアプローチには、脅威モデル化されるシステムの資産に焦点を当てるアプローチ (資産中心)、攻撃者に焦点を当てるアプローチ (攻撃中心の脅威モデリング)、およびソフトウェアまたはシステムに焦点を当てるアプローチ (ソフトウェア中心) が含まれます。またはシステム中心の脅威モデリング)。どの方法を導入するかは、システムやモデル化された脅威の種類、および目的によって異なります。以下は、現在一般的に使用されている脅威モデリング手法の一部です。
ストライド : Microsoft のエンジニアは、システム内の脅威を発見するための STRIDE 手法を 1999 年に開発しました。並行して構築できるターゲットシステムのモデルと組み合わせて使用されます。これには、プロセス、データ ストア、データ フロー、信頼境界の完全な内訳が含まれます。 STRIDE は、対処する脅威の種類の頭字語です。以下の表は、STRIDE によって管理されるさまざまな脅威と、違反された関連プロパティの内訳を示しています。
| スプーフィング | 信憑性 | 自分ではない何かまたは誰かのふりをする |
| 改ざん | 誠実さ | 悪意のある目的を達成するためにシステム内のデータを変更する。 |
| 否認 | 否認できない | 行為に対して責任がないと主張する |
| 情報開示 | 機密保持 | 保護された情報を無許可の組織に漏洩する。 |
| サービス拒否 (DoS) | 可用性 | サービスの提供に必要なリソースを使い果たしたり、アクセスを拒否したりする |
| 特権の昇格 | 認可 | 許可されていないことを他人に許可する |
表 1.0 | STRIDE の脅威とそれに関連するプロパティの違反
オクターブ: Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE) は、組織がデータ侵害から生じる可能性のある非技術的リスクを評価できるようにするために、カーネギー メロン大学で 2003 年に開発された、資産と運用を中心とした脅威モデリング手法です。 OCTAVE は次のフェーズで構成されます。
- 資産ベースの脅威プロファイルの構築 - 組織の評価。
- インフラストラクチャの脆弱性の特定 - 情報インフラストラクチャの評価
- セキュリティ戦略の開発と計画 – 組織の重要な資産と意思決定に対するリスクを評価します。
OCTAVE を使用すると、組織の情報資産が識別され、データセットには保存されているデータの種類に基づく属性が含まれます。 OCTAVE は、リスクを意識した企業文化を構築する場合に最も役立ちます。ただし、拡張性に欠けます。
トライク: Trike は、脅威モデリングとリスク評価のためのオープンソースの資産中心のフレームワークです。
このプロジェクトは、既存の脅威モデリング手法の効率と有効性を向上させるために 2006 年に始まりました。 Trike は、サイバー リスク管理の観点からセキュリティ監査プロセスを満たすことに重点を置いています。 Trike の脅威モデリング手法の基礎は「要件モデル」です。これにより、各資産に割り当てられたリスク レベルがさまざまな利害関係者にとって「許容可能」であることが保証されます。
脅威は、データ フロー ダイアグラム (DFD) を反復処理することによって特定されます。特定された脅威は、サービス拒否または特権昇格の 2 つのカテゴリに分類されます。次に、実装モデルが分析されて、Trike 脅威モデルが生成されます。
パスタ : 攻撃シミュレーションと脅威分析のプロセス (PASTA) は、組織がビジネスへの影響分析とコンプライアンス要件を考慮しながら、技術要件とビジネス目標を整合させることを目的として 2015 年に設計された 7 段階の攻撃中心の方法論です。この方法論の目標は、動的な脅威の識別、列挙、およびスコアリングのプロセスを提供することです。 PASTA は、チームが脅威を動的に特定、カウント、優先順位付けできるように指導することに重点を置いています。全体的なシーケンスは次のとおりです。
- ビジネス目標を定義する
- 技術範囲を定義する
- アプリケーションの分解
- 脅威分析
- 脆弱性と弱点の分析
- 攻撃の列挙とモデリング
- リスク分析と対策
脅威モデルが完成すると、特定された脅威の詳細な分析と適切なセキュリティ制御を開発できます。 PASTA 脅威モデリングは、プロセスの不可欠な部分としてビジネスへの影響分析を組み込んでいるため、戦略目標に沿って調整したい組織に最適です。
NIST 脅威モデリング ガイド: 米国国立標準技術研究所 (NIST) は 2016 年に独自の報告書を発行しました。 データ中心の脅威モデリング手法 システム内の高価値データの保護に重点を置いています。選択したデータの攻撃と防御の側面をモデル化します。このモデルでは、次の 4 つの重要なステップを使用してリスク分析が実行されます。
- 対象のシステムとデータを特定して特徴付ける
- モデルに含める攻撃ベクトルを特定して選択する
- 攻撃ベクトルを軽減するためのセキュリティ制御を特徴付ける
- 脅威モデルを分析する
このガイドは、セキュリティ マネージャー、セキュリティ エンジニア/アーキテクト、システム管理者、監査人、およびシステムとデータのセキュリティを担当するその他の担当者を対象としています。著者らによると、「目的は既存の方法論を置き換えることではなく、健全なデータ中心のシステム脅威モデリング方法論の一部であるべき基本原則を定義することです。
広大な: Visual、Agile、および Simple Threat (VAST) は、開発者とインフラストラクチャ チームの両方の懸念に独自に対処する、拡張性の高いモデリング手法です。自動化、統合、コラボレーションは VAST 脅威モデリングの基礎です。 VAST は以下を中心に構築されています 脅威モデラー - ソフトウェア開発ライフサイクル (SDLC) 全体に統合するように設計された自動脅威モデリング ツール。この方法では、開発チーム用のアプリケーション脅威モデルとインフラストラクチャ チーム用の運用上の脅威モデルという 2 つの脅威モデルを利用します。
開発チーム向けのアプリケーション脅威モデルは、プロセス フロー図 (PFD) を使用して作成されます。プロセス フロー図は、ビジネス プロセスの一般的な流れと、ユーザーがシステムとどのように対話するかを説明するのに役立つフローチャートです。 VAST は、DFD の代わりに PFD を使用して、より深いコンテキストの洞察と攻撃者と同様のビューを提供します。一方、運用上の脅威モデルは、これも攻撃者の観点から提示された従来の DFD を利用します。
適切な脅威モデリング手法の選択
さまざまな脅威モデリング手法が存在し、ビジネスや環境に適した手法を選択するのは困難な場合があります。すべての脅威モデリング手法が同じアプローチで作成されているわけではありません。脅威モデル化されるシステム資産に焦点を当てたもの、攻撃者に焦点を当てたもの、脅威モデル化されたシステムまたはソフトウェアに焦点を当てたものもあります。
すべての脅威モデリング手法で潜在的な脅威を特定できますが、特定される脅威の数と種類は、それらの脅威モデルから得られる品質、一貫性、価値などを含めて大きく異なります。機能とモデリング アプローチの観点から、ある組織に完全に適合するものでも、別の組織には適合しない可能性があります。脅威インテリジェンスが実用的であることを確認するには、セキュリティ チームはどの方法が特定のビジネス目標や目的に適合するかを解読する必要があります。
脅威モデル化されるシステムや脅威の種類、目的、ニーズに最も適したモデル化アプローチ (資産中心、攻撃中心、またはソフトウェア中心) など、さまざまな要素を考慮する必要があります。とりわけ、望ましい結果、拡張する能力、レポートを生成する能力、脅威モデリングの有効性を測定する能力などです。
脅威モデリングツール
脅威のモデリングは複雑で時間のかかるプロセスになる場合があります。ただし、一部のツールはプロセスを自動化し、必要な時間とコストを削減できます。優れた脅威モデリング ツールを使用すると、ユーザーはあらゆる種類の潜在的な脅威を視覚化、設計、計画、予測できます。 Microsoft Visio、Excel、PowerPoint は、脅威モデリングに使用される最も一般的なツールです。その他に一般的に使用されている商用およびオープンソースの脅威モデリング ツールには次のものがあります。
1. Microsoft 脅威モデリング ツール
Microsoft の脅威モデリング ツール はセキュリティの専門家以外のユーザーを念頭に置いて設計されており、無料で利用できます。このツールはあらゆる問題追跡システムに接続できるため、脅威モデリング プロセスが標準の開発プロセスの一部になります。さらに、脅威モデルの作成と分析に関する明確なガイダンスを提供し、開発者またはソフトウェア アーキテクトが次のことを実行できるようにします。
- システムのセキュリティ設計について話し合います。
- 実証済みの方法論を使用して、潜在的なセキュリティ問題がないかそれらの設計を分析します。
- セキュリティ問題の軽減策を提案および管理します。
2. OWASP スレットドラゴン
OWASP スレットドラゴン は、安全な開発ライフサイクルの一環として脅威モデルを作成するために使用されるオープンソースの脅威モデリング ツールです。 Threat Dragon は、次の価値観と原則に従っています。 脅威モデリングマニフェスト 。
長所:
- 完全にオープンソースで透明なプラットフォーム
- STRIDE などの一般的な方法論をサポート
- 強力なコミュニティサポートがある
- 幅広い統合をサポート
短所:
- エンタープライズ以外の環境により適しています
Threat Dragon は STRIDE やその他の方法論をサポートしており、潜在的な脅威を文書化し、その軽減策を決定できます。
3.脅威モデラー
脅威モデラー は、VAST 手法を実装した自動化された最新の脅威モデリング ツールです。このツールは、アジャイル ソフトウェア開発環境に統合され、開発者とセキュリティ チームが脅威を特定、予測、定義するための実用的な出力を提供するように設計されています。
長所:
- 使いやすい脅威モデリング
- プロジェクトごとに脅威ライブラリをカスタマイズ可能
- JIRA や Jenkins などの一般的なツールと統合
短所:
- インターフェースが原始的だと感じることもあります
さらに、ThreatModeler は攻撃対象領域全体の総合的なビューを提供し、企業が全体的なリスクを最小限に抑えることができます。
4.securiCADプロフェッショナル
securiCAD プロフェッショナル Foreseeti により、セキュリティ チームは既存および将来の IT インフラストラクチャの仮想モデルを設計できるようになります。仮想モデルでの攻撃シミュレーションと軽減テストにより、成功した攻撃パスとおそらくキル チェーンに関する詳細な洞察が得られます。
長所:
- セキュリティチームを念頭に置いて設計
- さまざまな攻撃シミュレーション オプションを提供
- さまざまな緩和オプションにアクセスするためのシンプルかつ強力な方法を提供します
短所:
- 中規模から大規模のセキュリティ チームに最適
さらに、ユーザーは securiCAD に導入されたセキュリティ軽減策を仮想的に評価し、サイバー脅威を排除する最も効果的な方法を見つけることができます。
5. イリウスリスク
イリウスリスク は、リスク分析を実行し、設計段階でソフトウェア アプリケーションの脅威モデルを生成し、リスクへの対処方法に関する推奨事項を生成する脅威モデリング ツールです。
長所:
- 使いやすいモデリングツール
- エンタープライズ バージョンには、大規模プロジェクト向けの API アクセスが含まれています
- 無料版も含まれています
短所:
- 計画と脅威のモデリングに適しています
これは、ウィザードベースのドラッグ アンド ドロップ ツールで、何を探すべきかについての洞察を含む脅威マップを生成するために使用できます。
6. SD要素
SDエレメント by Security Compass は、バランスの取れた開発自動化 (BDA) を活用しながら、セキュリティ プロセス全体の自動化を可能にする、統合されたリスク評価、安全なコーディング、および脅威モデリング プラットフォームです。これは時間と価値を最大化するのに役立ちます。
長所:
- 高度な脅威モデリング ツールと組み合わせたリスク評価ツールが含まれています
- 多くのスキャン、テスト、評価を自動化できます
- 時間と価値の優れた組み合わせを提供します
- 大規模な環境に最適
短所:
- すべてのオプションと機能を完全に検討するには時間がかかる場合があります
7. セキュリティ
の 安全 Threat Modeling Automator は、STRIDE がサポートする SaaS ベースのツールで、アーキテクチャ段階でセキュリティを実現するように設計されています。彼らのアプローチはシンプルです。システムの図 (注釈付きデータを含む) をdraw.io、Visio、または Excel 形式でアップロードすると、脅威モデルが生成されます。開発された脅威モデルは、要素、データ フロー、脅威を特定し、軽減策を推奨します。
長所:
- 脅威分析の自動化に重点を置いています
- 柔軟性の高いSaaSツール
- ネットワーク図に基づいて詳細な脅威モデルを生成できる
- STRIDEフレームワークをサポート
短所:
- 操作にはかなりの技術的専門知識が必要です
