4. 脅威モデルのための人材育成

実際の脅威モデリングプロセスの定義に着手する前に、関係者を特定し、トレーニングし、正しい考え方を採用するように注意する必要があります。4.1 章では、脅威モデリングに関連する利害関係者の特定について説明します。4.2 章では、脅威モデル活動の中心となる脅威モデルスペシャリストのロールの作成に焦点を当てています。4.3 章では、脅威モデリングを支援するための適切なトレーニングの重要性を説明します。4.4 章では、脅威モデリングがうまくいくようなポジティブな脅威モデリング文化をどのように作り、育てていくかについて説明します。

4.1 利害関係者を特定する

脅威モデリングの強みの一つは IT システムやプロジェクトのセキュリティに関わるさまざまな利害関係者を集め、それらの利害関係者が足並みを揃えるようにできることです。脅威モデリングはこのグループの人々がシステムやプロジェクトのビジネス上の価値について共通の理解を共有するのに役立ちます。同時に、これらの人々が主要な脅威とそれに対処するためにどのような緩和策を講じることができるかについての見解を共有するのにも役立ちます。

では、そのような利害関係者とは誰でしょうか？関与する人が少なすぎると、ビジネス上の価値と脅威に関する共通の理解を生み出せないため、脅威モデリング演習の主たる利点が失われます。関与する人が多すぎると、演習はコストのかかる会議になってしまうリスクがあります。参加者の大半が電子メールをチェックするのに忙しく、結局何も決まらないという状況はよくあることです。私たちの経験では、限られた規模のコアチームで行うのがベストです。理想的には、少なくとも以下のようなロールの人が参加していることです。

ロール	動機づけ
ビジネス利害関係者	ビジネス上の価値と潜在的なビジネスへの影響が明確であることを確認します。
アーキテクト	アプリケーションエコシステムのハイレベルな概要とその根底にある理論的根拠を提供します。
開発者	使用しているライブラリ、フレームワーク、およびコーディングガイドラインについての詳細を提供します。
セキュリティエンジニアや DevOps エンジニア	既存のセキュリティ構成やインフラストラクチャ構成についての詳細を提供します。
プロジェクト管理者	提案された緩和策をタイミングと予算の観点から妥当性確認します。
脅威モデルスペシャリスト	脅威モデルプロセスが適切に実行されていることを確認します。

このチーム構成は補完的な見解を持つ利害関係者を含んでいるため、非常に強力なものになります。まず、開発者、セキュリティ、DevOps エンジニアなど、技術的に深いノウハウを持つ人々が含まれています。次に、アーキテクトのような技術系や、ビジネス利害関係者やプロジェクト管理者のような非技術系など、より広い見解を持つ人々が含まれます。これは想像できるように、生産的な議論のための実証済みのレシピです。うまく管理すれば、現実を反映していない、特定の技術的リスクを過小評価している、ビジネスへの影響に関して明らかになったリスクを適切に組み立てていないためにポイントを逃している、などの脅威から脅威モデリング演習を保護します。

もちろん、欠点もあります。これらの人々は通常非常に忙しく、彼らの時間は貴重なリソースです。したがって、すべての脅威モデリング会議に全員を招待することは理想的ではありません。脅威モデリングワークショップが効率的に行われ、参加者が費やす時間を最適化するように準備する必要があります。これについては第 5 章でプロセスについて説明する際に再確認します。これを実現する重要なロールが脅威モデルスペシャリストです。スペシャリストのロールについては次に説明します。

4.2 脅威モデリングスペシャリストのロールを作成する

脅威モデルスペシャリストの主な目的は脅威モデルの実践と強固なセキュリティ文化を組織の開発プロセスのあらゆる側面に組み込むことを支援することです。脅威モデルスペシャリストは通常、常勤スタッフであり、必要に応じてスクワッド 4 をサポートするフローティングスペシャリストのようなロールを果たします。彼らは脅威モデリングに関する助言を提供し、スクワッドを支援し、時にはスプリントの時にはスプリントに立ち寄ります。

脅威モデリングスペシャリストの "職務記述書" は以下のようになります。

責任:

• スクワッドとそのセキュリティチャンピオンのための脅威モデルの窓口として行動する。

• スクワッド内の脅威モデル関連の活動をリードする責任を負う。

• 利害関係者とスクワッドメンバーとの間の連絡役として行動する。

タスク:

• スクワッド内の全体的なセキュリティ意識と脅威モデリングの知識を高める。

• スクワッドに対して脅威モデリングワークショップを企画および促進する。

• 脅威モデリングから得られた教訓をスクワッドに伝達されることを保証する。

• 組織の脅威モデリング手法を開発および改善する。

• 組織の脅威モデリングの実践を支援し自動化するために、脅威モデリングツールを選択、導入、保守する。

• スクワッドの製品設計および開発プロセスにおける弱点と脆弱性の特定と是正のための取り組みを主導する。

• スクワッドに対してアジャイル開発戦略を用いてセキュリティに焦点を当てたユーザーストーリを開発し、スクワッドのテストエンジニアとともにユニットテストおよび統合テストを設計する。

• 脅威モデリング教育およびトレーニングを企画し、セキュリティに焦点を当てた文化の変革を提唱し、脅威モデルスペシャリストとスクワッドチャンピオンを募集、指導、育成する。

必要なスキルと経験:

• 脅威モデリングにおける 2 年以上の経験。

• 脅威モデルの技法やツールに関する専門的知識。

• 優れたコミュニケーションスキルと議事進行スキル。

• チームプレーヤーであることの証明。

• セキュリティに興味があり、スクワッドのセキュリティニーズに応えるために学習し成長する意欲があること。

• セキュリティの概念、ツール、開発における実践 (自動セキュリティテスト、依存性チェック) の知識があれば尚可。

組織でこのロールを理解したら、第二段階として脅威モデリングの実践を開始および改善するために、組織内で脅威モデリングスペシャリスト候補を見つけるか採用することです。

4.3 人材を育成する

前述のように、実践的な脅威モデリングのやり方について関係者を育成することが重要です。脅威モデリングセッションの参加者は、何よりもまず、脅威モデリングの理由と方法を理解する必要があります。

さまざまな DevOps チームから段階的に人を集めて、脅威モデリングとは何かを説明および実演するランチ＆ラーンセッションを開始します。

参加者が基本的な理解をできたら、ロールベースのトレーニングプログラムを始めます。アーキテクト、セキュリティチャンピオン、テストエンジニア、セキュリティスペシャリストの各ロールに就く人は少なくとも以下の項目を網羅した脅威モデリングトレーニングを徹底すべきです。

• セキュア開発ライフサイクルの一環としての脅威モデリング

• 脅威モデリングの段階とプロセス

• 脅威モデリングの方法論 (少なくとも STRIDE 5 をカバーすること)

• ダイアグラム作成

• 脅威の特定

• 脅威の緩和

• リスク管理の考え方

• ハンズオン演習、できれば組織のシステムをベースとして

理想的には組織固有のプレイブックやテンプレート、事例、教訓を含めることです。またトレーニングはテクノロジスタックとプロジェクトガバナンスに適合させるようにします。学習目標が明確で達成されていること、結果と技法に焦点を当てていること、実際の脅威モデリングワークショップを模倣したグループでのハンズオン演習を行うことを確認します。

その他の人々は脅威モデリングに間接的に関与しているか、脅威モデリング活動の利害関係者や受益者になります。例えば開発者、DevOps エンジニア、ビジネスアナリスト、プロダクトオーナーなどです。これらのロールに対して脅威モデリングに対するハイレベルな導入トレーニングを提供します。

4.4 ポジティブな脅威モデリング文化を作り上げる

脅威モデリングを最大限に活用するために、脅威モデリングに関するポジティブな文化を作り上げます。脅威モデリングは監査ではなく、関連するチームが取り組んでいる製品のセキュリティに関するビジョンを共有して整合させるための活動です。

脅威モデリングを演習として始める際、非難をしない文化が脅威モデリングを行う正しい出発点であることを明確にすべきです。人は間違いを犯します。ワークショップでは問題点や設計上の欠陥が見つかるでしょう。これらは次回により良いものを作るための学習ポイントとして捉えます。間違いを起こした関係者を指さしたり責めたりしてはいけません。根本的な原因を探し、過去の失敗から学んで、製品や DevOps プロセスを改善しましょう。

同様に、脅威モデリングを行う際には、自分のエゴを捨てることです。自分自身のビジョンや理解だけでなく、脅威モデルの全体像に注目してください。脅威モデリングワークショップを行うときには、積極的に聞き取りを行い、関係者全員の立場を受け入れるようにします。これは脅威モデリングセッションに参加者全員を積極的に参加させることを意味します。そうすることで、参加者は脅威モデルの全体像を把握し、チームからのサポートを得ることができるでしょう。また、相互の尊重、包括性、参加者が自分の考えを話すのに十分安全な空間を確保することが必要です。

脅威モデリングはさまざまな経歴やスキルレベルを持つ人が参加する活動であるため、ビジネスや技術的な側面を含め、対象システムの共通理解を深めることに時間をかけます。必要に応じてワークショップの前にいくつかの参考資料を提供して、用語や概念を全員が理解しているようにします。

脅威モデルを作成することは楽しいものです。しかし、この活動の目的を忘れてはいけません。ワークショップに参加した人たちと一緒に、作成したセキュリティビジョンについて利害関係者の足並みを揃えることです。単に "脅威モデルをキュービクルの壁に投げつける" だけでなく、理想的には直接会って、時間をかけて関係者やグループに説明します。脅威モデルの結果をターゲットオーディエンスに変換します。例えば、上級管理職は技術的な調査結果をビジネスリスクとそれに関連する予算への影響に対応させる準備をします。別の例としては、脅威モデルで発見された欠陥の技術的な意味を理解できるように、テストエンジニアにセキュリティテストのための情報を提供することが挙げられます。

脅威モデリングはシステムのセキュリティ面に関する "トンネルビジョン" を打ち破るためのものです。トンネルビジョンはあまりにも遠い未来を見ること、セキュリティの観点から身近なものだけを見ること、そしてシステムに対する外部の脅威を意識しないことに起因します。他の人たちを巻き込み、脅威モデリングに関するオープンな文化を作ることで、このトンネルビジョンの罠から抜け出し、想像以上に多くのセキュリティ問題を発見できるようになるのです。

<< 前のページ

メインページ

次のページ >>