侵入テストは、企業のシステムに存在するさまざまな脆弱性をあぶり出すのに役立つ。だがそれだけでは発見しづらい脆弱性があるという。そうした脆弱性の特定で効力を発揮する「脅威モデリング」とは何か。
4回にわたって、侵入テストを中心とした主要なセキュリティ用語の一般的な意味を解説した。第5回は「脅威モデリング」の概要と、その重要性を解説する。
ここまで紹介した侵入テストは、脆弱(ぜいじゃく)性を特定する上では優れている。だが職場に潜む設計上の欠陥や脆弱性を発見できるよう設計されたテストではない。
例えば私が、あなたの自宅を訪問して安全点検することを考える。そこで私はドアに鍵が付いていること、鍵が正しい方向に回ること、スイッチを押すと照明が点灯することなどを確認する。いずれも、問題があれば修正できる箇所を見つけ出すための局所的なチェックにすぎない。
もしあなたが私に家の設計図を渡したとすれば、私は建築構造や柱の位置、土台の深さ、使っている素材などを参照できるようになる。設計図があれば、その家についてさらに深く理解したり、設計上の欠陥があるかどうかを判断したりすることが可能だ。さまざまな場所を局所的にチェックする必要はなくなる。
この設計図に重きを置いた考え方を、セキュリティに当てはめたものが、脅威モデリングだ。脅威モデリングはアーキテクチャレベルからシステムを観察し、潜在的なセキュリティ設計上の欠陥を見つけ出す。セキュリティ問題のほとんどは設計レベルの欠陥に起因することが、脅威モデリングの重要性を押し上げる。
企業が稼働している間はセキュリティ対策も稼働させる必要がある。一方で不十分なセキュリティテストを実施した結果を受け、企業が誤った安心感を持ってしまうことがしばしばある。
人々が同じ定義でセキュリティ用語を使おうと努めれば、用語のあいまいさは緩和され、セキュリティ上の見落としや脆弱性を発見しやすくなる。企業はそうした脆弱性を攻撃者に悪用される手口をより迅速に発見でき、セキュリティの専門家が最も重要な脆弱性を優先しながら対策を迅速化できるようになるはずだ。
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
