19.7K Views
May 08, 25
スライド概要
脅威モデリングってなに? Threat Modeling Night #9
※本日の内容は個人的な見解です。所属する組織や団体とは無関係です。
1. はじめに
改めて、自己紹介
hayapi 組織に必要なセキュリティの取り組みをなんでもやる人 コーポレートIT / コーポレートセキュリティ ガバナンス、設計、実装、運用なんでも! 元・システム開発者(設計〜実装〜運用) 脅威モデリング愛好家 趣味は、MCUを観ること、Nintendo Switch 2の抽選に参 加すること @yo_hayasaka
よくある質問や疑問
画期的な手法? / 網羅的にできる? ベンダ vs 社内? / 誰がやる? リスクアセスメント? / 脅威インテリジェンス?
今日話すこと
脅威モデリングって何をするの? なぜ組織としてやるのか? 最初の一歩はどう踏み出す?
想定している聴講者
興味はあるけど、何をするのかピンとこない人 やってみたいけど、何から始めれば良いか分からない人 脅威モデリングについて、改めて再確認したい人
今日のゴール
脅威モデリングが何なのかをイメージできる 「あの人と試してみよう!」と最初の一歩が見える
2. 脅威モデリングって 何をするの?
基本的な流れ
ステップ1:対象を理解する (Understand) 何を、どの範囲でやる? 図を描く
ステップ2:脅威を特定する (Identify) 「困ること」は? 誰が、どうすると、何が起こる?
ステップ3:優先順位をつける (Prioritize) どれからやる? 影響度 x 発生しやすさ
ステップ4:対策を検討する (Mitigate) どう防ぐ?どう減らす? コストや運用も考慮
このステップ1~4を反復的に繰り返す
あれ? これってセキュリティマネージャーが 日々の仕事でやっていることでは???
たぶんそう
セキュリティマネージャーが持つスキル
システム理解 / 図の読み書き ビジネス価値 / 情報資産理解 脅威 / 攻撃知識 対策知見 法規制 / コンプライアンス リスク評価
ということは、
脅威モデリングのプロセス自体は、 「これまでにも存在していたもの」ということ
3. なぜ組織としてやるのか?
セキュリティとプライバシーに関する課題に 組織内の多様な視点を持ち込んで取り組むため
一人でやる脅威モデリングの限界
視点の偏り: 一人の知識や経験に基づいた視点になりがち 情報の不足: システムの詳細や最新の実装状況を全て把握するのは困難 対策の実行力: 対策の実行には、開発チームなどの協力が不可欠
で、社内にはどんな人たちがいるんだっけ?
組織内の様々な役割の人たちの例
システムアーキテクト・設計者・開発者 図の読み書き システム理解
経営者・事業責任者・プロダクトマネージャー ビジネス価値 情報資産理解
セキュリティエンジニア・アナリスト・専門家 脅威 / 攻撃知識 対策知見
法務担当者・リスク管理者 法規制 / コンプライアンス リスク評価
改めて振り返ると 組織内の様々な役割の人たちは、 セキュリティマネージャーのスキルを 分散的に持っていたりしませんか???
しかも本業にしている人たちなので むしろセキュリティマネージャーよりも 深い知見とスキルと経験を持ってる
この人たちがコラボレーションすれば より高いレベルで、組織全体で取り組めそうでは?
コラボレーションによる効果
理解の共通化 「同じ図」を見て認識を合わせる
対話の促進 「同じ言葉」で話せるようになる
スキル結集による発見 多様な視点からリスク/対策を見つける
不安の解消 「なんとなく」を「具体的なリスク」に
次のアクションにつながる 次に誰と一緒にやれば良いのか見えてくる
4. 最初の一歩はどう踏み出す?
コンセプト
「小さく」「シンプルに」「対話の場を作る」
最初の一歩
1. 対象を「超」小さく絞る 2. 「不安を共有できる仲間」を誘う 3. 「簡単な図」を「一緒に」書く 4. 「素朴に」聞いてみる 5. アイデアをメモする
まとめ
最初の一歩は 「小さな対象」で 「不安を共有できる仲間」と 「一緒に図を書いて話す」こと
5. 最後に
よくある質問や疑問への回答 (個人的な意見)
Q: 画期的? / 網羅的? 銀の弾丸ではない 網羅性より対話が重要
Q: ベンダ vs 社内? / 誰がやる? 社内メンバーがやることに意味がある システムのプライバシー、安全性、セキュリティを懸念するすべての人 by Threat Modeling Manifesto
最後に。気を付けたいこと
脅威モデリングは「道具」 使うことに固執しない 他の道具も検討 やること自体を目的化しない!
Thank you