侵入テストは、企業のシステムに存在するさまざまな脆弱性をあぶり出すのに役立つ。だがそれだけでは発見しづらい脆弱性があるという。そうした脆弱性の特定で効力を発揮する「脅威モデリング」とは何か。
4回にわたって、侵入テストを中心とした主要なセキュリティ用語の一般的な意味を解説した。第5回は「脅威モデリング」の概要と、その重要性を解説する。
ここまで紹介した侵入テストは、脆弱(ぜいじゃく)性を特定する上では優れている。だが職場に潜む設計上の欠陥や脆弱性を発見できるよう設計されたテストではない。
例えば私が、あなたの自宅を訪問して安全点検することを考える。そこで私はドアに鍵が付いていること、鍵が正しい方向に回ること、スイッチを押すと照明が点灯することなどを確認する。いずれも、問題があれば修正できる箇所を見つけ出すための局所的なチェックにすぎない。
もしあなたが私に家の設計図を渡したとすれば、私は建築構造や柱の位置、土台の深さ、使っている素材などを参照できるようになる。設計図があれば、その家についてさらに深く理解したり、設計上の欠陥があるかどうかを判断したりすることが可能だ。さまざまな場所を局所的にチェックする必要はなくなる。
この設計図に重きを置いた考え方を、セキュリティに当てはめたものが、脅威モデリングだ。脅威モデリングはアーキテクチャレベルからシステムを観察し、潜在的なセキュリティ設計上の欠陥を見つけ出す。セキュリティ問題のほとんどは設計レベルの欠陥に起因することが、脅威モデリングの重要性を押し上げる。
企業が稼働している間はセキュリティ対策も稼働させる必要がある。一方で不十分なセキュリティテストを実施した結果を受け、企業が誤った安心感を持ってしまうことがしばしばある。
人々が同じ定義でセキュリティ用語を使おうと努めれば、用語のあいまいさは緩和され、セキュリティ上の見落としや脆弱性を発見しやすくなる。企業はそうした脆弱性を攻撃者に悪用される手口をより迅速に発見でき、セキュリティの専門家が最も重要な脆弱性を優先しながら対策を迅速化できるようになるはずだ。
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
GoogleやMicrosoftが警鐘 中国発ネット工作の危険性(無料eBook)
GoogleやMicrosoftの報告が示すのは、中国発のAIを活用したネット工作が世界的な問題とな...
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年1月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
Netflix、さらなる成長戦略は「アドテク自社開発」 広告主のメリットは?
Netflixは2024年第4四半期に1890万人の加入者を増加させ、広告収入を前年同期比で倍増さ...
ITmediaはアイティメディア株式会社の登録商標です。
