脅威モデリングってなに？(簡易版)

脅威モデリングってなに？ Threat Modeling Night #9 Recap

※本日の内容は個人的な見解です。所属する組織や団体とは無関係です。

1. はじめに

改めて、自己紹介

hayapi 組織に必要なセキュリティの取り組みをなんでもやる人 コーポレートIT / コーポレートセキュリティ ガバナンス、設計、実装、運用なんでも！ 元・システム開発者(設計〜実装〜運用) 脅威モデリング愛好家 趣味は、MCUを観ること、Nintendo Switch 2の抽選に 参加すること 2回当選しました @yo_hayasaka

• https://x.com/yo_hayasaka

よくある質問や疑問

画期的な手法？ / 網羅的にできる？ ベンダ vs 社内？ / 誰がやる？ リスクアセスメント？ / 脅威インテリジェンス？

今日話すこと

脅威モデリングって何をするの？ なぜ組織としてやるのか？ 最初の一歩はどう踏み出す？

2. 脅威モデリングって 何をするの？

基本的な流れ

ステップ１：対象を理解する (Understand) 実施する目的とスコープは？ 重要な資産は？ 図を描く

ステップ２：脅威を洗い出す (Identify) 「起きて困ること」は？ 誰が、何をすると、どんな悪影響が ある？

ステップ３：リスク評価して優 先順位をつける (Prioritize) 発生しやすさ x 影響度 どれからやる？

ステップ４：対策を検討する (Mitigate) どう防ぐ？どう軽減する？ コストや運用負荷、現実性も考慮

このステップ1～4を反復的に繰り返す

3. なぜ組織としてやるのか？

セキュリティとプライバシーに関する課題に 組織内の多様な視点を持ち込んで取り組むため

組織内の様々な役割の人たちの例

セキュリティエンジニア・アナリスト・専門家 組織やシステムを取り巻く脅威 / 攻撃に対する知見 それらに対する対策の知見

システムアーキテクト・設計者・開発者 対象システムに対する業務知識や実装レベルの知見 図を書くことに対するハードルの低さ(日常業務の1つ)

経営者・事業責任者・プロダクトマネージャー ビジネスに対する知見 どの情報に価値があるか認識している(ノウハウなど)

法務担当者・リスク管理者 法規制 / コンプライアンスに関する知見 リスク管理に対するハードルの低さ(日常業務の1つ)

コラボレーションによる効果

多様な視点 様々な視点からリスク / 対策を考えることができる

不安の解消 「なんとなく」を「具体的なリスク」として言語化 / 可視化できる

次のアクションにつながる 次に誰と一緒に、何をやれば良いのか見えてくる

4. 最初の一歩はどう踏み出す？

最初の一歩は 「小さな対象」で 「不安を共有できる仲間」と 「一緒に図を書いて話す」こと

5. 最後に

よくある質問や疑問への回答 （個人的な意見）

Q: 画期的？ / 網羅的？ 銀の弾丸ではない これまでもセキュリティ担当がやっていたことを体系化しただけ ディスカッションベースで進めるため、全量を網羅できるわけではない 網羅性よりも対話が重要

Q: ベンダ vs 社内？ / 誰がやる？ 社内メンバー中心でやることに意味がある Threat Modeling Manifestoの目指す姿 社内で不足している視点を補いたいときは、外部を頼ると良い

• https://www.threatmodelingmanifesto.org/

Q: リスクアセスメント？ / 脅威インテリジェンス？ リスクアセスメントの一環として実施することもある ただし、網羅性には欠けるので補完できる手法と組み合わせるか、割り切りが 必要 脅威インテリジェンスとは別物 ただし、全く無関係のものではない ステップ2の脅威を洗い出す際に、脅威インテルベースで実施する場合もある

最後に。気を付けたいこと

脅威モデリングは「道具」 使うことに固執しない 他の道具も検討 やること自体を目的化しない！

Thank you