侵入テストは、企業のシステムに存在するさまざまな脆弱性をあぶり出すのに役立つ。だがそれだけでは発見しづらい脆弱性があるという。そうした脆弱性の特定で効力を発揮する「脅威モデリング」とは何か。
4回にわたって、侵入テストを中心とした主要なセキュリティ用語の一般的な意味を解説した。第5回は「脅威モデリング」の概要と、その重要性を解説する。
ここまで紹介した侵入テストは、脆弱(ぜいじゃく)性を特定する上では優れている。だが職場に潜む設計上の欠陥や脆弱性を発見できるよう設計されたテストではない。
例えば私が、あなたの自宅を訪問して安全点検することを考える。そこで私はドアに鍵が付いていること、鍵が正しい方向に回ること、スイッチを押すと照明が点灯することなどを確認する。いずれも、問題があれば修正できる箇所を見つけ出すための局所的なチェックにすぎない。
もしあなたが私に家の設計図を渡したとすれば、私は建築構造や柱の位置、土台の深さ、使っている素材などを参照できるようになる。設計図があれば、その家についてさらに深く理解したり、設計上の欠陥があるかどうかを判断したりすることが可能だ。さまざまな場所を局所的にチェックする必要はなくなる。
この設計図に重きを置いた考え方を、セキュリティに当てはめたものが、脅威モデリングだ。脅威モデリングはアーキテクチャレベルからシステムを観察し、潜在的なセキュリティ設計上の欠陥を見つけ出す。セキュリティ問題のほとんどは設計レベルの欠陥に起因することが、脅威モデリングの重要性を押し上げる。
企業が稼働している間はセキュリティ対策も稼働させる必要がある。一方で不十分なセキュリティテストを実施した結果を受け、企業が誤った安心感を持ってしまうことがしばしばある。
人々が同じ定義でセキュリティ用語を使おうと努めれば、用語のあいまいさは緩和され、セキュリティ上の見落としや脆弱性を発見しやすくなる。企業はそうした脆弱性を攻撃者に悪用される手口をより迅速に発見でき、セキュリティの専門家が最も重要な脆弱性を優先しながら対策を迅速化できるようになるはずだ。
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
数分でデータを人質に 進化するランサムウェアに有効な「第2世代EDR」とは (2025/3/4)
クラウドサービスの脆弱性をどう解消する? 安全な開発環境を構築するヒント (2025/3/4)
「複雑、高額、難しい」を変える中堅・中小向けSASEのメリットを解説 (2025/2/10)
「Box」に移行してもなくならない「お守り仕事」を根本から効率化するには? (2025/1/23)
これからのセキュリティ対策に必要な「防御側の優位性」、AIはどう実現する? (2025/1/22)
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
