脅威モデリング (STRIDE) を業務システム要件定義に組み込む実務

STRIDE の 6 カテゴリと業務システム機能の対応

STRIDE は Spoofing (なりすまし) / Tampering (改ざん) / Repudiation (否認) / Information Disclosure (情報漏洩) / Denial of Service (サービス妨害) / Elevation of Privilege (権限昇格) の頭文字です。

業務システムの典型機能 (認証・権限管理・データ参照・データ更新・外部連携・ログ) に当てはめると、各機能で考えるべき脅威が機械的に出てきます。脅威モデリングの粒度はこの 2 軸 (機能 × STRIDE) で十分です。

1. 認証 × STRIDE

認証では Spoofing と Elevation of Privilege が中心です。

パスワード総当たり攻撃、セッションハイジャック、トークン再利用、MFA バイパス、SSO 連携時の権限引き継ぎミスが代表例です。要件定義段階で、認証フロー・セッション管理・MFA 要件・SSO 連携時の権限マッピングを文書化します。

2. 権限管理 × STRIDE

権限管理は Elevation of Privilege と Information Disclosure が中心です。

ロール定義の曖昧さ、デフォルト権限の過大、API 経由の権限チェック漏れ、テナント分離の不備、特権 ID の共有が典型脅威です。要件定義段階でロール一覧・各ロールが操作可能な対象・操作種別を表形式で書き出します。

3. データ参照 × STRIDE

データ参照では Information Disclosure が中心です。

マスタ照会の参照範囲、ログ閲覧の権限、エクスポート機能の権限、API 経由の大量取得、フィルタ条件のバイパスが脅威です。要件定義で、各画面・各 API がどの範囲のデータを返すか・誰がアクセスできるかを定義します。

4. データ更新 × STRIDE

データ更新では Tampering と Repudiation が中心です。

不正な更新リクエスト、同時更新の競合、操作ログの欠落、更新後の値の検証漏れが典型です。要件定義で更新権限・楽観的ロック・操作ログ・更新内容のレビュー要否を明示します。

5. 外部連携 × STRIDE

外部連携では Information Disclosure と Spoofing が中心です。

外部 API への過剰なデータ送信、API キーの漏洩、webhook の検証漏れ、署名検証の不備、リプレイ攻撃が脅威です。要件定義で連携先・送信データ・認証方式・署名検証要件を明示します。

6. ログ × STRIDE

ログでは Repudiation が中心です。

必要なログが取得されていない、ログが改ざんされる、ログから個人情報が漏れる、ログの保管期限が短い、が典型脅威です。要件定義で、取得対象のイベント・保管期限・保管先・改ざん防止策・参照権限を定義します。

実装フェーズで戻ってくる工数を予防する

上記 6 軸 × 6 カテゴリの中で、現状の業務システムで考慮されていない箇所が見つかったら、要件定義段階で対応方針を決めます。これだけで、実装後の指摘事項対応で発生する 「やり直し」 工数を半減以上できることが多いです。