最近話題になったセキュリティ侵害は、事後的なセキュリティ対策では不十分であることが判明しています。適切な脅威モデリングにより、これらの侵害のいくつかは防げたかもしれません。Microsoft が開発した STRIDE 脅威モデルは、プロアクティブなセキュリティ計画のための最も効果的なフレームワークの 1 つとして登場しました。STRIDE(Spoofing:なりすまし、Tampering:改ざん、Repudiation:否認、Information Disclosure:情報漏えい、Denial of Service (DoS):サービス拒否、Elevation of Privilege:特権の昇格)は、セキュリティに対する体系的なアプローチです。開発チームが攻撃者の視点で考え、侵害が発生する前にシステムを保護できるようにするものです。
STRIDE の 6 つのカテゴリ
STRIDE モデルは、脅威を 6 つのタイプに分類し、それぞれがソフトウェア・セキュリティ・リスクのさまざまな側面に対処します。
なりすまし(Spoofing):なりすましは、デジタル・アイデンティティの窃盗と考えてください。不正アクセスを得るために別のユーザーやシステム・コンポーネントになりすますことをさします。なりすまし攻撃は認証メカニズムを危険にさらし、攻撃者が正規のユーザーやデバイスになりすますことを可能にします。
改ざん(Tampering):改ざんとは、データやコードを不正に変更することです。このような攻撃は、ファイル、データベース、ソフトウェア・コード、展開パイプライン、実行中のアプリケーションのメモリを変更することで、データの整合性を損なう可能性があります。改ざんは、あらゆるシステム、特にデータの正確性が意思決定に不可欠であるシステムにおいて重大なリスクをもたらします。
否認(Repudiation):否認の脅威は、説明責任のギャップを悪用します。このタイプのセキュリティ脅威は、ユーザーやシステムがトランザクションなどの特定のアクションを実行することを拒否した場合に発生します。この脅威は、ソフトウェア・システムにおける否認防止制御の欠如を悪用し、当事者の行動に対する責任追及を困難にします。
情報漏えい(Information Disclosure):これは、機密情報や機微な情報を、権限のない第三者に意図せず漏洩することをさします。暗号化が不十分であったり、アクセス制御が不適切であったり、Web アプリケーションの脆弱性が原因で発生する可能性があります。
サービス拒否(DoS:Denial of Service):セキュリティ脅威のこのカテゴリは、過剰な要求やシステムの脆弱性によってシステムを圧倒し、サービスの可用性を破壊することをめざしています。DoS 攻撃は、システムを正規のユーザーに利用させず、ビジネスの中断を引き起こします。
特権の昇格(Elevation of Privilege):これは、攻撃者がシステムの脆弱性を悪用することで、意図したレベルよりも高いレベルのアクセス権を取得した場合に発生します。これにより、システムに対する管理レベルの制御が可能になり、攻撃者は悪意のあるソフトウェアのインストール、システム構成の変更、機密データへのアクセスが可能になります。
なりすまし(Spoofing)
なりすましとは、別のデバイスやユーザーになりすまし、システムや個人を欺く行為です。これには、IP アドレスや電子メール・ヘッダーなどの ID 情報の改ざんが含まれます。なりすましによる脅威は、不正アクセス、データ侵害、情報操作につながる可能性があるため、重大です。攻撃者は、アイデンティティのなりすましに成功すると、機密システムを保護するために設計されたセキュリティ対策を容易に回避できます。なりすまし攻撃の一般的な例には、攻撃者が信頼できるソースから来たように見えるメッセージを送信する電子メールなりすましや、悪意のあるユーザーが検知を回避できる IP なりすましなどがあります。これらの攻撃による潜在的な影響は、財務上の損失や評判の低下、個人データの侵害など多岐にわたります。
改ざん(Tampering)
改ざんとは、データやシステム構成の不正な変更をさします。これには、ファイルの変更、ソフトウェア・コードの変更、転送中のデータの妨害などが含まれます。この行為は、ソフトウェア・システムの完全性を損ない、システムの動作や判断を誤らせる不正なデータや悪意のあるデータを持ち込むことになります。このような変更により、ユーザーの信頼が損なわれ、コンプライアンス規制に違反する可能性があります。改ざんの例としては、攻撃者がソフトウェア更新の内容を変更したり、データベース内のトランザクション・レコードを操作したりする場合が挙げられます。これらの攻撃の影響は深刻なものとなり、経済的損失、法的影響、ブランドの評判の大幅な低下につながります。
否認(Repudiation)
サイバーセキュリティでは、否認とは、ユーザーがシステム内でアクションを実行したことを否定する能力のことで、多くの場合、信頼できる証拠やログがないことが原因です。これにより、説明責任と否認防止の課題をもたらし、ユーザーまで遡って行動を追跡することを困難にします。否認は、取引ログが信頼できるものでなければならない eコマース、金融、法律システムにおいて、特に問題となる可能性があります。例えば、ユーザーがトランザクションを許可していないと主張した場合、十分なログ記録がないため、セキュリティ・ポリシーの調査や実施が妨げられる可能性があります。このような拒否攻撃の影響は、取引に関する紛争、不正行為の機会の増加、セキュリティ・プロトコルの弱体化につながる可能性があり、これら全てがシステム全体の整合性を損なう可能性があります。
情報漏えい(Information Disclosure)
情報漏えいには、機密データの不正なアクセスや、それを受け取ることを意図していない個人や事業体への漏洩が含まれます。この不正アクセスは、個人情報の盗難、企業スパイ、プライバシー規制違反につながる可能性があるため、深刻な脅威となります。データの機密性が損なわれ、個人と組織の両方に永続的な影響が及ぶ可能性があります。情報漏えいは、マイクロサービスにおけるサイドチャネル攻撃、クラウドの誤設定、API 情報漏えい、キャッシュ・タイミング攻撃などによく見られます。情報漏えいの一般的な標的には、個人データ、企業秘密、知的財産が含まれ、規制上の罰金や評判の低下につながる可能性があります。
情報漏えい攻撃の例としては、機密性の高い顧客情報が漏洩するデータ侵害や、プライベート・データを公開するクラウド・ストレージの設定ミスなどがあります。潜在的な影響には、経済的損失、法的責任、消費者の信頼の破壊的な低下が含まれます。
サービス拒否(DoS:Denial of Service)
サービス拒否(DoS)とは、トラフィックを圧倒したり、脆弱性を悪用したりすることで、対象ユーザーがサービスを利用できないようにすることを目的とした攻撃をさします。このような攻撃は、ソフトウェア・システムの可用性を混乱させ、正規ユーザーがアクセスできないようにします。その結果、ダウンタイム、収益損失、組織の評判の低下などが生じる可能性があります。DoS 攻撃の一般的な例として、分散型サービス拒否(DDoS)攻撃が挙げられます。複数のシステムがターゲット・サーバーにトラフィックをあふれさせます。これらの攻撃の影響は大きく、運用の中断や、復旧にかなりの時間がかかる多額の財務コストにつながる可能性があります。
特権の昇格(Elevation of Privilege)
特権の昇格とは、ユーザーがシステム内の上位の機能やデータに不正にアクセスすることを可能にするセキュリティの脆弱性をさします。このようなアクセスは深刻な脅威となり、攻撃者は機密データを操作したり、管理コマンドを実行したり、システムの整合性を侵害したりすることができます。例えば、特権の昇格攻撃には、ソフトウェアの脆弱性を利用して管理者権限を取得することや、ソーシャル・エンジニアリングの手法を用いて、ユーザーを騙して高レベルのアクセス権を付与することが含まれます。このような攻撃の影響は大きく、データ侵害、システム破損、組織のセキュリティへの多大な損害につながる可能性があり、組織が効果的なセキュリティ対策に優先順位を付けることが不可欠です。
STRIDE の実装
STRIDE による脅威モデリングの実装は、次のフェーズに大別できます。
フェーズ 1:システムの分解
ソフトウェア・アーキテクチャを、サーバー、データベース、API、ユーザー・インターフェースなどの個別のコンポーネントに分割します。これにより、脅威が標的とする可能性のあるエントリ・ポイントやアセットを正確に特定できます。
- システムのデータフロー図(DFD)を作成
- 信頼の境界線を特定
- システム・コンポーネントとその相互作用をマッピング
- 認証、承認ポイントを文書化
フェーズ 2:脅威分析
識別された各コンポーネントについて、STRIDE カテゴリに基づいて潜在的な脅威を分析します。例えば、認証メカニズムがなりすましに対して脆弱であるか、データ・ストレージ・メソッドが改ざんの影響を受けやすいかなどを調べます。
各コンポーネントについて、次のことを行います。
- STRIDE カテゴリの適用
- 脅威ツリーを使用して攻撃ベクトルを特定
- ビジネスへの影響を考慮
- 仮定と依存関係を文書化
フェーズ 3:緩和計画
脅威ごとに、対応するセキュリティ・コントロールを開発します。手法には、なりすましを防止するための強力な認証の実施、改ざんから保護するためのデジタル署名の使用、DoS 攻撃から保護するための速度制限の実装などがあります。
以下を含む緩和戦略を作成します。
- テクニカル・コントロール
- 手続き上の保護措置
- 監視要件
- インシデント対応手順
STRIDE 導入のための最新ツール
商用ツール
- Microsoft Threat Modeling Tool:このツールにより、ソフトウェア・システムの視覚的表現を作成し、STRIDE フレームワークに基づいて脅威を特定することができます。
- IriusRisk:このツールは、脅威モデリングとリスク評価を自動化し、既存の開発ワークフローとの統合を可能にします。
- ThreatModeler:クラウドネイティブの脅威モデリング・ツールは、アーキテクチャ設計におけるセキュリティ脅威の特定と評価を容易にし、開発プロセス内でのコラボレーションと統合を可能にします。
オープンソースの代替
- OWASP Threat Dragon:このオープンソースの脅威モデリング・ツールは、ソフトウェア・アーキテクチャのダイアグラム作成とセキュリティ脅威の評価をサポートします。
- PyTM:脅威モデリングのための Python ベースのフレームワークにより、システムや潜在的な脅威をプログラムで定義できるため、既存の開発ワークフローの自動化と統合が容易になります。
- ThreatSpec:このインフラ・アズ・コードの脅威モデリング・ツールは、コード内のセキュリティ・リスクを直接定義・分析し、クラウドやオンプレミス環境における脆弱性の特定を効率化することで、セキュリティを強化します。
STRIDE 脅威モデルのメリット
銀行業界では、STRIDE モデルがオンライン・バンキング・アプリケーションに対する潜在的な脅威を特定するために採用されています。銀行は、なりすましや情報開示などの脅威を分類することで、多要素認証や暗号化などの対策を実装し、顧客データを保護します。同様に、医療業界では、病院は STRIDE フレームワークを使用して、電子カルテ(EHR)に保存された患者情報を保護します。この脅威モデリングは、データ送信チャネルのセキュリティを確保し、許可された担当者のみが機密情報にアクセスできるようにします。クラウド・サービス・プロバイダは、STRIDE を活用してマルチテナント環境の脅威を評価し、改ざんや特権の昇格などのリスクを特定します。これにより、厳格なアクセス制御と暗号化を実装し、顧客データを効果的に分離できます。
STRIDE 脅威モデルは、ソフトウェア開発やサイバーセキュリティに次のようなメリットをもたらします。
- プロアクティブなセキュリティ:SDLC の初期段階で脅威を特定することで、展開前にセキュリティ対策を統合することができ、本番環境で脆弱性が悪用される可能性を低減できます。
- 包括的なリスク評価:6 つの脅威カテゴリは、セキュリティのさまざまな側面をカバーし、ソフトウェアのセキュリティ体制を総合的に評価します。
- セキュリティ意識の向上:STRIDE を使用することで、開発チームは潜在的なリスクをより深く理解し、組織内のセキュリティ重視の文化を育むことができます。
- コスト効率の高い緩和策:設計段階におけるセキュリティ問題への対処は、展開後の脆弱性の修正よりも一般的に低コストです。STRIDE は、効果的な対策を早期に実施し、時間とリソースを節約します。
- 規制コンプライアンスの向上:データ保護に関する法律や基準(GDPR、HIPAA など)を厳密に遵守する必要がある業種では、STRIDE を使用することで、セキュリティとリスク管理に対するコミットメントを示すことができます。
まとめ
脅威検知のサブセットである脅威モデリングは、セキュリティ・チームが攻撃の増大と高度化に対応するのに役立ちます。システムが複雑化し、脅威が高度化するにつれ、STRIDE の構造化されたアプローチはますます価値を増しています。組織的な脅威の特定と緩和という基本原則を維持しながら、新たな脅威に対処するために STRIDE の導入を適応させる必要があります。STRIDE の理解と適切な実装により、組織は、ますます敵対的なデジタル環境において、資産の保護、顧客からの信頼の維持、事業継続性を確保できます。
Evergreen アーキテクチャにより、ピュア・ストレージは ActiveDR、ActiveCluster、SafeMode スナップショットなどのセキュリティファーストのコンピューティングとストレージ・ソリューションを提供しています。これらのソリューションは、STRIDE などのセキュリティ・フレームワークの適切な実装を支援し、モデルで定義されたプラクティスが効果的で成功することを保証する基盤となる技術を提供します。
