Upgrade to Pro — share decks privately, control downloads, hide ads and more …

脅威モデリングの理解と実践

 脅威モデリングの理解と実践

主に医療機関でシステムを構築する際に、リスクベースでの対策を検討する際有用な脅威モデリングの講義と実践の資料です

※本資料は AWS Masahiro Imai さんが作られた資料を代理でアップロードしています

Avatar for Takahiro Kubo

Takahiro Kubo PRO

October 22, 2025
Tweet

More Decks by Takahiro Kubo

Other Decks in Technology

Transcript

  1. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. AWS 脅威モデリング 紹介と体験 Solutions Architect Public Sector Amazon Web Services Japan G.K.
  2. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 自己紹介 2 • Masahiro Imai (今井 真宏) • シニアソリューションアーキテクト • スマートシティ/ヘルスケア/MLスペシャリスト • 今までの経験 • MLテック企業CTO (Computer Vision・ヘルスケアモデル) • Finテック企業CTO • 慶應義塾大学 Visited Researcher • 好きなAWSサービス • Amazon SageMaker AI / Amazon AppStream 2.0 / AWS Batch
  3. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Agenda 座学 1. はじめに 2. 脅威モデリングの説明と本日の目的 3. アーキテクチャの理解 4. 課題意識の理解(着目点) 脅威モデリングの実施 1. データの流れ 2. 脅威の洗い出し等 3. ワークショップまとめ 3
  4. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 本日のゴール 参加者の皆様 脅威モデリングを必要な時に 繰り返し実行できること 5
  5. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 脅威モデリングとは 6 脅威モデリング(threat modeling):攻撃者がどのようにシステムを攻撃するか、 またはシステムに侵入するかを検討するために、要件と設計を調べるプロセスであり、 その結果、それらの問題を最初に防止しようとするもの 「どんなセキュリティ問題が起こり得るか」 をチームで考え、そのリスクへの対策を 立てる活動 起こり得る問題の例: ・「この機能は悪用されそう…」 ・「このデータベースは個人情報を保存してるから、 情報漏洩したら終わり…」 ・「このアカウントは権限が広いから、乗っ取られた らまずい…」
  6. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 脅威モデリングをするメリット 7 1. セキュリティ問題とその対策を特定する • 潜在的な脅威を洗い出し、セキュリティ問題をリストアップすることで、対策方法を 考えられる 2. セキュリティに関するニーズを理解する • 起こり得るセキュリティ問題を把握したら、必要なセキュリティ対策や要件が明確になる 3. 安全に構築する • 早期のフィードバックで、最初から安全なソフトウェア作りを目指せる 4. 開発者のシステム理解が高まる • システムの各コンポーネントや機能を分析することで、システムへの理解が深まり、 開発者の教育にもなる
  7. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 脅威モデリングは誰がやるのか? 8 脅威モデリングはチームで取り組む ▪ 脅威モデリングにはチーム全体の知識とスキルセットがあると良い(技術者だ けでない) ▪ チームで実施することにより、セキュリティ要件や脅威に対して 共通認識が持てる ▪ 以下のペルソナを満たせるチーム編成が理想 (一人で複数役やってもOK) – ビジネス側 – ワークロードの要件を代表する。緩和策によって過度に要件に影響を 受けないようにする – 開発者 – ワークロードの機能について現在の設計内容を理解している – 攻撃者 – 攻撃側の視点に立ち、設計上の欠陥を利用して特定の目的を達成する方法を探す – 防御側 – 攻撃者が特定した攻撃を脅威として認識し、対抗するセキュリティコントロールを考案する – AppSec SME – 脅威モデリングや情報セキュリティに精通する
  8. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 脅威モデリングはデータフロー可視化からスタート 情報セキュリティは情報資産(データ)を安全に利活用するための非機能要件 だからこそ、データの流れ(フロー)の把握が必要十分なリスクの把握に繋がる 9 情報資産 脅威 脆弱性 最終的に明らかにしたいもの (=リスク)
  9. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. どこでどのように問題を識別、対処できますか? 計画 設計 ビルド テスト デプロイ 保守 脅威 モデリング コードレビュー 静的コード分析 (SAST) ダイナミック分 析(DAST) ペネトレーショ ンテスト パイプライン での自動セキ ュリティチェ ック 情報開示 バグバウンティ
  10. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 不具合修正のコストと“シフトレフト“ 計画 設計 ビルド テスト デプロイ 保守 早いほうがよい! 改修コスト シフトレフト
  11. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 先人の知恵にあやかろう/共通言語 脅威モデリングに活用できるフレームワークの例 12 名称 フォーカスポイント 概要 STRIDE ソフトウェア開発者 Microsoft社が開発した方法論で、セキュリティ上の脅威を特定するための記憶術。「Spoofing (なりすまし)、Tampering(改ざん)、Repudiation(否認)、Information disclosure(情報 漏えい)、Denial of service(サービス妨害)、Elevation of privilege(特権の昇格)」の頭文 字。 DREAD 脅威のリスク評価 マイクロソフト社の別の方法論で、特定された脅威のリスク評価に使用。DREADは損害の可能性 (Damage potential)、再現性(Reproductivity)、悪用可能性(Exploitability)、影響を受けるユー ザー(Affected users)、発見可能性(Discoverability)。これらの要素はスコア付けされ、その結果 は特定された脅威の優先順位付けに使用されます。 PASTA 攻撃者視点 「Process for Attack Simulation and Threat Analysis(攻撃のシミュレーションと脅威分析の プロセス)」の略。PASTAは、脅威の特定、列挙、スコア付けを7段階のプロセスで行う。 Trike 受容リスク 資産の防御に焦点を当てたリスクベースの方法論。リスク管理の観点から始まり、その文脈で脅 威と脆弱性を考える。 VAST 脅威の視覚的表現 Visual(視覚的に)、Agile(柔軟に)、Simple(簡単に)Threat(脅威)(VAST)に対応する 方法論。アジャイル開発環境に統合されやすく、アクセスしやすいことを目指す。 OCTAVE 組織のリスク評価 オペレーショナルクリティカルな脅威資産と脆弱性の評価。特定の資産に基づく脅威プロファイ ルの構築、インフラストラクチャの脆弱性の特定、セキュリティ戦略と計画の策定の3フェーズ がある。
  12. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 分析手法とツール ⑤ サービス拒否 DoS ② 改ざん Tampering ① スプーフィング Spoofing ④ 情報漏洩 Information Disclosure ⑥ 権限の昇格 EoP ③ 否認 Repudiation STRIDE 機密性に影響を与える 信頼性に影響する 完全性に影響 を与える 可用性に 影響する 影響 否認防止 影響 認可 1. Spoofing・スプーフィング:ID のなりすましでは、どのような 認証脅威が発生する可能性があるか 2. Tampering・改ざん:移動中か保管中かを問わず、データの改ざ んにつながるインテグリティの脅威にはどのようなものがあるか 3. Repudiation・否認:発生する可能性のあるアクションを拒否す る原因となる監査上の脅威の種類(アクションを拒否したり、発 生したアクションを隠したりできる) 4. Information Disclosure・情報漏洩:どのような機密保持の脅威 が発生して情報開示につながる可能性があるか 5. Denial of Service・サービス拒否:どのような種類の可用性脅威 が発生してサービス拒否の脅威が発生する可能性があるか 6. Elevation of Privilege・権限の昇格:権限昇格ではどのような権 限の脅威が発生する可能性がありますか 脅威モデリングの分析手法として STRIDEがよく用いられる
  13. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 脅威・対策のリスト 例 14 優先順位 脅威 ID 脅威ステートメント 要素 STRIDE 確認事項 考えられる対策 高 T01 有効なユーザーになりすました脅威アクターが、公 開された API を操作して、ユーザーの認証トークン、 医療情報、バックアップデータに悪影響を及ぼす可 能性がある。 ユーザー S クライアント証明書とID/Pass(またはSession ID) の 2 要素認証 高 T02 有効なベンダーになりすました脅威アクターが、公 開された API を操作して、ユーザーの認証トークン、 医療情報、バックアップデータに悪影響を及ぼす可 能性がある。 ユーザ S クライアント証明書とID/Pass(またはSession ID) の 2 要素認証 高 T03 有効なユーザーが誤ってデータを削除行為を否認す る ユーザ DB R アプリケーションログの保存 バックアップの保持 高 T04 ボットなどによるオープンなエンドポイントへの DDoS攻撃によって、アプリケーションが機能しな くなる WAF D AWS WAF (DoS対策済) の利用 許可IPの制限 高 T05 有効なユーザによる多数のAPIクエリによって、ア プリケーションが機能しなくなる NLB、EC2 D ログやトレーシングによるユーザ特定 高 T06 有効なユーザによる多数のDBクエリによって、アプ リケーションが機能しなくなる DB D 異常クエリの早期検出と停止 ログやトレーシングによるユーザ特定 S: Spoofing・スプーフィング:なりすまし T: Tampering・改ざん R: Repudiation・否認 (隠蔽) I: Information Disclosure・情報漏洩 D: Denial of Service・サービス拒否 E: Elevation of Privilege・権限の昇格 脅威への対策が決まったら、具体的な TODO項目(Backlog/チケットなど)にして、 対策を予定・実施する
  14. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 脅威モデリングをお楽しみください 15
  15. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 脅威モデリング
  16. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. まずは、着目ポイントのデータフロー図(DFD) を作成する 17 データストア 処理 外部 エンティティ データ フロー ヒューマンアクター データフロー図の要素
  17. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. スタティックウェブ アプリケーション (例) データフローと信頼境界(Zone of Trust) Amazon Clodfront ディストリビューシ ョン GitHub ペ ージ AWS アカウントホスティング GitHub AWS アカウント ホスティングします S3 バケット ブラウザ A1 A2 A3 A4 B1 B2 A1 — HTTPゲット A2 — HTTP ゲット A3 — スタティックアセット (HTML、CSS、JS) A4 — スタティックアセット (HTML、CSS、JS) B1 — HTTP 取得 B2 — スタティックアセット (HTML、CSS、JS)
  18. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. データフローに沿って脅威を洗いだす ⑤ サービス拒否 DoS ② 改ざん Tampering ① スプーフィング Spoofing ④ 情報漏洩 Information Disclosure ⑥ 権限の昇格 EoP ③ 否認 Repudiation STRIDE 機密性に影響を与える 信頼性に影響する 完全性に影響 を与える 可用性に 影響する 影響 否認防止 影響 認可 1. Spoofing・スプーフィング:ID のなりすましでは、どのような 認証脅威が発生する可能性があるか 2. Tampering・改ざん:移動中か保管中かを問わず、データの改ざ んにつながるインテグリティの脅威にはどのようなものがあるか 3. Repudiation・否認:発生する可能性のあるアクションを拒否す る原因となる監査上の脅威の種類(アクションを拒否したり、発 生したアクションを隠したりできる) 4. Information Disclosure・情報漏洩:どのような機密保持の脅威 が発生して情報開示につながる可能性があるか 5. Denial of Service・サービス拒否:どのような種類の可用性脅威 が発生してサービス拒否の脅威が発生する可能性があるか 6. Elevation of Privilege・権限の昇格:権限昇格ではどのような権 限の脅威が発生する可能性がありますか 脅威モデリングの分析手法として STRIDEがよく用いられる
  19. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. STRIDEとデータフロー図の各コンポーネント サービス拒否 DoS 改ざん Tampering スプーフィング Spoofing 情報漏洩 Information Disclosure 権限の昇格 EoP 否認 Repudiation STRIDE 機密性に影響を与える 信頼性に影響する 完全性に影響 を与える 可用性に 影響する 影響 否認防止 影響 認可 STRIDEの各カテゴリの脅威の対象となる要 素は下記の表に示すように大体決まっている
  20. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 脅威ステートメントを書く データフロー図を見ながら、起こり得る問題を洗い出してリストアップする • 脅威を例示する際は、脅威ステートメントというフォーマットを推奨する [前提条件] を満たす [脅威の発生源] が、[脅威アクション] によって[脅威による影 響] につながり、その結果 [影響を受ける資産] に悪影響が及ぶ可能性がある 例:管理者権限を持っている内部の脅威アクターが、データベースに保存されているデータを改ざんする ことによってクレジットカードの利用明細が変更されることにつながり、その結果カード利用明細の整合 性に悪影響が及ぶ可能性がある
  21. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 脅威に優先順位をつける 洗い出した脅威に対して「高」「中」「低」で優先順位をつける。 発生する可能性がある問題に優先順位を付けるにはいくつかの方法がある。 例えば、発 生する影響に対して対策のコストがはるかに上回るのであれば対策の優先度を下げると いう方法が取れる。投資収益率 (ROI) が最も高いものを優先順位として高くする。 優先順位 脅威 ID 脅威ステートメント 要素 STRIDE 「高」「中」「低」 T01 [前提条件] を満たす [脅威の 発生源] が、[脅威アクショ ン] によって[脅威による影 響] につながり、その結果 [影響を受ける資産] に悪影 響が及ぶ可能性がある。 ユーザー S … … … … …
  22. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. リスクへの対応戦略 対応戦略 対策内容 対策例 1. 回避 何らかの変更を加えることによって、リスクを排除 する。つまり、そのリスクの可能性をゼロにするか、 その重大性を無関係にする。 実装方法を完全に変更するなど 2. 低減 (コントロール) リスクを許容可能なレベルまで積極的に低減する。 脆弱性の可能性を低くするように設計された手法 (セキュアな設計、特定のプログラミング言語、 APIなど)を使用するなど。 例えば、転送中のデータを暗号化することで、脅威ア クターにプレーンテキストのメッセージを見られる可 能性を低減することが可能。 また有効期間の短い認 証情報を使用することは、脅威アクターが認証情報を 使用できる期間が限られるため脅威アクターが認証情 報にアクセスした場合の影響を低減する対策の例。 3. 移転 リスクを他の第三者に転嫁すること。サイバー保険 に加入したり別の第三者の管理するコンポーネント に変更するなど。 例えば、AWSのマネージドサービスを利用すること はAWSの責任共有モデルによりシステムリスクの責 任の一部をAWSに転嫁したものと考えることもでき る。 4. 許容 あえてリスクを受容すること。リスクを緩和するた めにかかるコストがリスクを悪用された場合の代償 よりも大きい場合や、リスクに対処するためのコス トで競争上の優位性を失うことになる場合は、あえ てリスクを許容することも考えられる。 リスクが発生した場合の影響よりもリスクを回避、低 減するコストの方が高い場合はリスクを受容し、発見 的統制に注力する。 洗い出した問題を全部直すわけではない。リスク分析 をして、以下の4つの対応戦略から選ぶ
  23. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. クロージング
  24. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 脅威モデリングフライホイール 脅威モデリングは一回だけでなく、定期的かつ継 続的に実施することが重要 脅威モデルは生きている文書として扱う • システムの変更、新機能やコンポーネント作成 時など、脅威モデリングを行うことを推奨 • 最初は不慣れでも、繰り返すことでよりスムー ズに進められるようになる • 振り返りで良かった点や改善点を洗い出し、プ ロセスの改善も可能
  25. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 本日のゴール 参加者の皆様 脅威モデリングを必要な時に 繰り返し実行できること 27
  26. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 参考: The Elevation of Privilege Threat Modeling Card Deck https://github.com/adamshostack/eop Elevation of Privilege 脅威モデリングカードゲーム https://github.com/KiiCorp/eop-ja Elevation of MLsec https://github.com/kantega/elevation-of-mlsec 28