STRIDE|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. STRIDE
             

STRIDE

STRIDEは、ソフトウェアやシステムの設計段階で考えられるセキュリティリスクを特定し、対策を講じるための脅威モデルの一つです。マイクロソフトによって開発されたもので、サイバーセキュリティにおける主要な脅威を体系的に整理し、セキュリティ設計や脅威の評価に役立てることを目的としています。STRIDEは、6つの脅威カテゴリの頭文字(Spoofing、Tampering、Repudiation、Information Disclosure、Denial of Service、Elevation of Privilege)から構成されています。

STRIDEモデルを用いることで、設計段階での脅威分析が体系的に行えるため、ソフトウェアの開発プロセスにおいてセキュリティ要件を早期に組み込むことができ、リリース後の脆弱性を減らすことができます。

STRIDEの6つの脅威カテゴリ

  1. Spoofing(なりすまし)
    システムやネットワークにおいて、攻撃者が他の正当なユーザーになりすましてアクセスする脅威です。ユーザーやプロセスの認証において、不正なアクセスが許可されると、機密データの漏洩やサービスの不正利用が発生します。

    • 対策:強力な認証方式の導入(多要素認証、パスワードポリシー強化など)
  2. Tampering(改ざん)
    データやコードが意図せずに変更されることです。攻撃者がデータや設定ファイル、アプリケーションコードにアクセスし、不正に変更することで、システムの動作が変わり、誤作動やデータの不整合が発生します。

    • 対策:データの完全性を守るためのデジタル署名やハッシュ関数、アクセス制御
  3. Repudiation(否認)
    ユーザーやシステムの操作履歴が残らない、または証拠が不十分なため、操作の追跡や証明ができないことです。これにより、正当な行動の証明が難しくなり、不正行為を隠蔽されるリスクが高まります。

    • 対策:操作ログや監査ログの記録と保管、非改ざん性の監査証跡
  4. Information Disclosure(情報漏洩)
    機密データや個人情報が不正アクセスにより流出する脅威です。攻撃者がシステムやネットワークにアクセスし、情報を窃取することで、プライバシーの侵害や知的財産の漏洩が生じます。

    • 対策:データの暗号化、アクセス制御リスト、認可システムの導入
  5. Denial of Service(サービス拒否)
    システムやサービスに過剰な負荷をかけて利用不能にする攻撃です。大量のリクエストを送信することでサーバーをダウンさせ、正当なユーザーがサービスを利用できない状態にします。

    • 対策:リソースのレート制限、トラフィックフィルタリング、冗長構成の採用
  6. Elevation of Privilege(権限昇格)
    攻撃者が通常は許可されていない管理者権限や特権を取得することです。低い権限でアクセスした後に、脆弱性を悪用して権限を昇格させることで、システムやデータを完全に制御するリスクが生じます。

    • 対策:最小権限の原則の徹底、特権昇格の監視、権限管理の厳格化

STRIDEの利用方法

STRIDEを使った脅威分析は、主にソフトウェアやシステムの設計段階で行われます。一般的な利用手順は以下のとおりです。

  1. システムの構成図を作成
    システム全体の構成要素(ネットワーク、サーバー、クライアント、外部システム)を明確にし、データフロー図を作成します。
  2. 各要素に対してSTRIDEカテゴリを適用
    各要素に対して、STRIDEの6つのカテゴリを基にして、発生しうる脅威をリストアップします。
  3. リスクの評価
    リストアップした脅威に対して、リスクの発生可能性や影響度を評価し、優先順位をつけます。
  4. 対策の検討と実施
    リスクの高い脅威から順に、対策を検討し、システム設計にセキュリティ要件を組み込みます。
  5. 定期的なレビュー
    システムの設計変更や機能追加に伴って、再度STRIDEモデルを用いた脅威分析を行い、新たなリスクに対応します。

STRIDEのメリットとデメリット

メリット

  • 体系的な脅威分析:脅威カテゴリを体系的に整理しているため、設計段階で網羅的なセキュリティ分析が可能。
  • 早期のセキュリティ強化:開発初期段階でのリスク発見と対策が可能で、リリース後の脆弱性修正コストが低減。
  • 幅広い適用性:システムやソフトウェアだけでなく、ネットワークやクラウド環境など、幅広い領域で活用できる。

デメリット

  • 専門知識が必要:脅威分析にはセキュリティの専門知識が必要で、全メンバーにとって理解しやすいとは限らない。
  • 複雑なシステムでの適用:大規模なシステムや複雑なデータフローを持つアーキテクチャでは、脅威の特定に時間がかかる。
  • リスク優先度の難易度:リスクの影響度や発生確率の評価には主観が入るため、客観的な評価基準を持つことが重要。

まとめ

STRIDEは、ソフトウェアやシステム設計におけるセキュリティリスクを特定し、脅威モデルとして体系的に分類するための方法です。Spoofing、Tampering、Repudiation、Information Disclosure、Denial of Service、Elevation of Privilegeという6つのカテゴリに分類し、それぞれの脅威に対するリスク評価と対策を通じて、システムの安全性を確保することを目的としています。セキュリティリスクを早期に特定し、開発プロセスに組み込むことで、最終的なシステムや製品のセキュリティが向上します。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。