侵入テストは、企業のシステムに存在するさまざまな脆弱性をあぶり出すのに役立つ。だがそれだけでは発見しづらい脆弱性があるという。そうした脆弱性の特定で効力を発揮する「脅威モデリング」とは何か。
4回にわたって、侵入テストを中心とした主要なセキュリティ用語の一般的な意味を解説した。第5回は「脅威モデリング」の概要と、その重要性を解説する。
ここまで紹介した侵入テストは、脆弱(ぜいじゃく)性を特定する上では優れている。だが職場に潜む設計上の欠陥や脆弱性を発見できるよう設計されたテストではない。
例えば私が、あなたの自宅を訪問して安全点検することを考える。そこで私はドアに鍵が付いていること、鍵が正しい方向に回ること、スイッチを押すと照明が点灯することなどを確認する。いずれも、問題があれば修正できる箇所を見つけ出すための局所的なチェックにすぎない。
もしあなたが私に家の設計図を渡したとすれば、私は建築構造や柱の位置、土台の深さ、使っている素材などを参照できるようになる。設計図があれば、その家についてさらに深く理解したり、設計上の欠陥があるかどうかを判断したりすることが可能だ。さまざまな場所を局所的にチェックする必要はなくなる。
この設計図に重きを置いた考え方を、セキュリティに当てはめたものが、脅威モデリングだ。脅威モデリングはアーキテクチャレベルからシステムを観察し、潜在的なセキュリティ設計上の欠陥を見つけ出す。セキュリティ問題のほとんどは設計レベルの欠陥に起因することが、脅威モデリングの重要性を押し上げる。
企業が稼働している間はセキュリティ対策も稼働させる必要がある。一方で不十分なセキュリティテストを実施した結果を受け、企業が誤った安心感を持ってしまうことがしばしばある。
人々が同じ定義でセキュリティ用語を使おうと努めれば、用語のあいまいさは緩和され、セキュリティ上の見落としや脆弱性を発見しやすくなる。企業はそうした脆弱性を攻撃者に悪用される手口をより迅速に発見でき、セキュリティの専門家が最も重要な脆弱性を優先しながら対策を迅速化できるようになるはずだ。
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
「TikTok禁止」は結局、誰得? どうするトランプ氏――2025年のSNS大予測(TikTok編)
米国での存続を巡る議論が続く一方で、アプリ内ショッピングやAI機能の拡大など、TikTok...
ネットの口コミを参考に8割超が商品を購入 最も参考にした口コミの掲載先は?
ホットリンクは、口コミ投稿の経験や購買への影響を調査した結果を発表した。
「生成AIの普及でSEOはオワコン」説は本当か?
生成AIの普及によりSEOが「オワコン」化するという言説を頻繁に耳にするようになりました...