STRIDEモデル
セキュリティ設計や脅威モデリングを行う際に使われる代表的なフレームワークが STRIDEモデル
MSが提唱した脅威分類手法で、6つの脅威カテゴリ の頭文字をとって「STRIDE」
STRIDEとは
| 文字 | 意味 | 日本語訳 | 主な防止策 |
|---|---|---|---|
| S | Spoofing | なりすまし | 認証(Authentication) |
| T | Tampering | 改ざん | 整合性チェック、署名、アクセス制御 |
| R | Repudiation | 否認(証拠の否定) | ログ監査、不可否認性(Non-repudiation) |
| I | Information Disclosure | 情報漏えい | 暗号化、権限管理 |
| D | Denial of Service | サービス拒否(DoS攻撃など) | 冗長化、レート制限、防御システム |
| E | Elevation of Privilege | 権限昇格 | 最小権限の原則、脆弱性修正、入力検証 |
S:Spoofing(なりすまし)
本人を装ってアクセスする攻撃。
例:他人の認証情報でログイン、IP・MACアドレス偽装など。
対策:多要素認証、証明書、セッション管理。
T:Tampering(改ざん)
データや通信の内容を不正に変更する攻撃。
例:ファイル改ざん、Webフォーム改変、中間者攻撃(MITM)など。
対策:デジタル署名、ハッシュ検証、改ざん検知、TLS通信。
R:Repudiation(否認)
「そんな操作はしていない」と主張できてしまう脅威。
例:攻撃者が操作ログを削除/改ざんし、痕跡を否定。
対策:ログの完全性確保、タイムスタンプ、監査証跡、電子署名。
I:Information Disclosure(情報漏洩)
機密情報を意図せずまたは不正に露出させる脅威。
例:パスワード平文保存、エラーメッセージで内部情報が露出、S3バケットの公開設定。
対策:暗号化、最小権限、不要な情報出力の抑制。
D:Denial of Service(サービス拒否)
サービスやリソースを過負荷状態にし、正規利用者を妨害する攻撃。
例:DoS/DDoS攻撃、リソース枯渇、無限ループ入力。
対策:WAF、レート制限、キャッシュ・冗長化、フェイルセーフ設計。
E:Elevation of Privilege(権限昇格)
本来より高い権限で操作できてしまう脅威。
例:脆弱なアプリから root 権限を奪取、一般ユーザーが管理者設定を変更。
対策:権限分離、パッチ適用、脆弱性診断、ロールベースアクセス制御(RBAC)。
STRIDEの使い方(実務・設計フェーズ)
- システムを構成要素ごとに分解(ユーザー、サーバ、DB、ネットワークなど)
- 各要素に対して6つの脅威カテゴリを当てはめて分析
- 該当する脅威を洗い出し、対策を設計
例:Webアプリの認証機能に対して
- Spoofing → 他人のIDでログイン
- Tampering → Cookie改ざん
- Repudiation → 操作ログ消去
- Information Disclosure → セッションID漏洩
- Denial of Service → ログイン試行爆撃
- Elevation of Privilege → 管理者昇格
まとめ
| ポイント |
|---|
| STRIDEは「脅威の種類を体系的に整理する」ためのフレームワーク |
| 機密性・完全性・可用性(CIA)に紐づけて考えると理解しやすい |
| Microsoftが提唱し、Threat Modelingの標準手法として利用されている |
STRIDE × CIA(機密性・完全性・可用性)対応表
| STRIDE要素 | 日本語 | 主に影響するCIA要素 | 代表的な例 | 対策の方向性 |
|---|---|---|---|---|
| Spoofing | なりすまし |
機密性Confidentiality 完全性 Integrity |
攻撃者が他人の認証情報を使ってログイン | 強力な認証(MFA、証明書)、ID管理 |
| Tampering | 改竄 | 完全性Integrity | ファイルや通信データの不正変更 | デジタル署名、ハッシュ検証、改ざん検知 |
| Repudiation | 否認 |
完全性Integrity 責任追跡性Accountability |
攻撃者が「自分は操作していない」と主張 | ログ監査、電子署名、タイムスタンプ |
| Information Disclosure | 情報漏洩 | 機密性Confidentiality | 機密ファイルや個人情報の露出 | 暗号化、アクセス制御、マスキング |
| Denial of Service | サービス拒否 | 可用性Availability | DDoS攻撃、リソース枯渇 | 冗長化、WAF、負荷分散、レート制限 |
| Elevation of Privilege | 権限昇格 |
完全性Integrity 機密性Confidentiality |
一般ユーザーが管理者権限を取得 | 権限分離、脆弱性修正、最小権限設計 |
補足:STRIDEとCIAの関係
| CIA三要素 | STRIDEに該当する主な脅威 | 目的 |
|---|---|---|
| C 機密性 |
Spoofing / Information Disclosure | 情報を盗まれないようにする |
| I 完全性 |
Tampering / Repudiation / Elevation of Privilege | データが改ざん・偽造されないようにする |
| A 可用性 |
Denial of Service | サービスを止めさせないようにする |
まとめ
- STRIDEは「脅威の種類を網羅的に洗い出す」フレームワーク。
- CIAは「守るべきセキュリティの目標」。
- 両者を組み合わせることで、脅威 → 影響 → 対策 のトレースが可能に。