本記事は、脅威モデリングを勉強し始めたばかりの筆者が、
「内部不正対策に応用できないか?」という観点で試行錯誤しながらまとめた内容です。
そのため、専門的に見ると誤りや理解不足があるかもしれません。
もし気づきやご指摘があれば、ぜひ優しい目でコメントいただけると嬉しいです。
一緒に学びを深めていければと思います。
データ起点で再設計する、新しい内部不正対策のアプローチ
内部不正は、情報セキュリティの中でも最も厄介な領域です。
攻撃者は「組織の中にいる正規のユーザー」であり、認証にも通過し、権限も正しい。
外部攻撃で有効だった境界型防御や脆弱性管理は、内部不正にはほぼ通用しません。
では、どうすればいいのでしょうか。
その答えのひとつとして、私は
内部不正対策に「脅威モデリング」を持ち込むことを考え始めました。
脅威モデリングは本来、外部脅威やシステム脆弱性を分析するための手法ですが、
構造を少し変えるだけで内部不正にも応用できるのではないかと感じています。
この記事を書くきっかけ
「なぜ内部不正×脅威モデリングを考え始めたのか」
最近、脅威モデリング手法STRIDEの開発者ローレン・コンフェルダー氏による講演を聞く機会がありました。
その中で特に印象に残ったのは次の言葉です。
「脅威モデリングはソフトウェアセキュリティだけの話ではない。
抽象度を上げれば、駅の改札でも脅威モデリングできる。」
この一言で、脅威モデリングに対する認識が大きく変わりました。
これまで私は、脅威モデリングといえば、多くの場合Webアプリやシステムに対する攻撃パスを分析する、テクニカルなセキュリティ手法というイメージがありました。
しかし講演では、
- 対象はコードでなくても良い
- データの流れも対象になる
- 人の行動にも適用できる
と説明されていました。
つまり脅威モデリングはもっと普遍的で抽象度の高い分析手法なのだと気づいたのです。
内部不正こそ、脅威モデリングの対象では?
このとき私はふとこう思いました。
「内部不正対策って、実は脅威モデリングと相性がいいのでは?」
内部不正は、攻撃者が内部にいるという特徴だけでなく、
多くの発生要因が人の行動や業務プロセスの弱点にあります。
- 過剰な権限
- 不適切なデータフロー
- ログの欠落
- 外部共有の穴
- 組織の縦割り(サイロ化)
- 業務の慣習によるブラックボックス化
これらはまさに、脅威モデリングが可視化を得意とする要素です。
内部不正には「境界」がない。だからこそ構造化が必要だった
外部攻撃であれば、
ネットワーク境界・FW・VPN・WAF など明確な防御ポイントが存在します。
一方で内部不正は、
- 社員、委託先、退職予定者
- 正当な権限
- 正しいログイン
- 業務を装った行動
といった、曖昧で複雑な条件 が絡み合う世界で起こります。
そのため、内部不正を体系的に説明したり、再発防止策を整理するのは非常に難しい領域でした。
しかし脅威モデリングというフレームワークを用いれば、
- 攻撃者モデル
- 資産
- データフロー
- 攻撃経路
- 防御ポイント(Control Points)
といった形で、内部不正を構造的に整理できることに気づきました。
内部不正×脅威モデリング=人とデータの安全の見える化
ソフトウェアセキュリティの世界で使われてきた手法を、
データと人間の行動リスクに応用する発想は非常にエキサイティングだと思いました。
しかも内部不正は、
- 技術対策
- 組織運用
- 法務・人事
- 部署間の関係性
など、多くの領域が同時に関わります。
だからこそ、抽象度の高い分析手法が求められていました。
脅威モデリングはその要求を満たし、驚くほどしっくり当てはまります。
結果として私は、
内部不正という最も人間的で曖昧な問題を、構造的に分析し、再現可能な設計へ落とし込むために脅威モデリングを使ってみよう。
そう強く思うようになりました。
1. 内部不正と脅威モデリングは「構造」が同じ
脅威モデリングとは、攻撃者・攻撃経路・防御ポイントを体系的に整理する手法です。
外部攻撃ではSTRIDEやDFD(データフロー図がよく使われます。
実はこの構造がそのまま、内部不正にも適用できます。
外部攻撃と内部不正の本質的な同型性
| 観点 | 外部攻撃 | 内部不正 |
|---|---|---|
| 攻撃者 | 外部の第三者 | 組織の中の人 |
| 境界 | ネットワーク | データそのもの |
| アクセス | 不正侵入を試みる | 正当権限の悪用 |
| 経路 | 攻撃経路(Attack Path) | 情報の流通経路(Data Flow) |
| 防御 | FW / IAM / EDR | ラベル / DLP / IRM / 監査ログ |
この比較から分かるのは、
違うのは「攻撃者がどこにいるか」ではなく、どこで境界が突破されるか
という点です。
つまり内部不正対策は、
脅威モデリングをデータ中心で再構築するだけで大きく前進すると考えられます。
2. 内部不正向けのSTRIDE
内部不正ではSTRIDEを以下のように解釈すると極めて実務的になると思います。
| STRIDE | 本来の意味 | 内部不正での現れ方(マッピング) |
|---|---|---|
| S | なりすまし | 他者アカウント利用、共有リンク悪用 |
| T | 改ざん | ファイル再保存、形式変換、IRM回避 |
| R | 否認 | ログ残さない、ログ削除 |
| I | 情報漏えい | USBや個人端末への持出し、誤送信 |
| D | サービス妨害 | データ削除、業務停止狙い |
| E | 権限昇格 | 管理者権限の取得、過剰権限 |
これにより、内部不正の脅威シナリオが非常に整理しやすくなります。
3. 内部不正に「脅威モデリング」が効く理由
脅威モデリングには、4つの極めて強力なポイントがあります。
① 攻撃者モデルが明確になる
内部不正は internal threat actor が多様です。
- 退職直前の社員
- 委託先
- 兼務者
- 過剰権限を持つ担当者
これらをモデル化すると、
「誰が・いつ・何をしやすいか」が明確になります。
② データフロー(DFD)が攻撃経路になる
内部不正の大半は業務プロセスの穴に潜んでいます。
- 入手
- 編集
- 保存
- 共有
- 持ち出し
このフローを可視化すると、
どこに統制ポイントを置くべきかが明確になるため非常に有効です。
③ 防御ポイントをデータ境界で設計できる
ネットワーク境界は内部不正には機能しません。
代わりに使えるのが、
- ラベル(分類)
- 暗号化(IRM)
といったデータ自体に付与される保護です。
機密ラベルのついたファイルは、どこへ行っても守られる。
内部不正対策の本質はここにあります。
④ 組織・技術・法務の統制を一体化しやすい
内部不正では、技術だけでは絶対に防げません。
しかし脅威モデリングを行うと、必要な統制が自然に整理されます。
- 技術
- 組織
- 法務
を一枚の図で説明できるのは非常に大きなメリットです。
4. 製造業でよくある内部不正シナリオ
社員1万人規模の製造業では以下のシナリオが典型的です。
▶ シナリオ1:退職前に技術情報を大量ダウンロード
- SharePoint / OneDrive から大量DL
- 同期を有効化し個人PCへ
防御:
- 高機密は同期禁止
- 異常行動(大量DL)検知
- IRM強制で退職後は開けない
▶ シナリオ2:研究部門のCAD図面がUSBにコピーされる
防御:
- USB DLP
- 自動ラベルで CAD に極秘付与
- コピーしても暗号化維持
▶ シナリオ3:営業が誤送信して技術資料が競合へ
防御:
- メール誤送信のポリシー
- IRMで誤送信後でもアクセス失効
- 共有リンクに有効期限
▶ シナリオ4:委託先が本社データを無断利用
防御:
- 委託先向けの外部共有制御
- 機密ラベルは外部閲覧不可
- 行動ログ監査
5. 対策マップ(内部不正×脅威モデリング)
内部不正対策は次の3ステップで設計すると美しくまとまります。
Step 1:データを分類する(ラベル設計)
- 部外秘
- 社外秘
- 公開
これが境界の代わりになります。
Step 2:データフローを描く(DFD)
- 入手
- 編集
- 保存
- 共有
- 持ち出し
このフローのどこに脅威が潜むかを可視化します。
Step 3:統制ポイントを置く(Control Points)
| フロー | 主な脅威 | 対策 |
|---|---|---|
| 入手 | 過剰権限 | 権限レビュー、自動ラベル |
| 編集 | 暗号化解除 | IRM強制 |
| 保存 | ローカル複製 | DLP、同期制御 |
| 共有 | 誤送信 | 共有制御、失効、期限 |
| 持ち出し | USB、個人端末 | USB DLP、監査ログ |
これが内部不正向けの脅威モデリングの形です。
6.試しにやってみた
実際にやってみると、内部不正が驚くほど整理された
脅威モデリングを適用すると、
- データの流れのどこに脅威が潜むのか
- どの部署が関わるのか
- どこが抜け道になっているのか
- どこに統制点を置けばよいのか
が一気に明確になった。
さらに、Purview や DLP、IRM といった
データを守る技術と脅威モデルを結びつける設計図ができるようになった。
7. まとめ:内部不正対策は「脅威モデリング」で再発明できる
内部不正は「人が悪い」「監視が足りない」という根性論に陥りがちです。
しかし本質はもっとシンプルです。
- 情報がどこを流れて
- どこで境界を越え
- どこで統制が効かなくなるか
これを体系的に整理できれば、
内部不正対策は再現可能で、説明可能で、運用可能になる。
そしてこれを最も美しく実現するのが、
脅威モデリング(特にSTRIDE × DFD) です。
内部不正対策は、「人を疑う」のではなく「データを守る仕組みを作る」ことで成立する。
あなたの組織の内部不正対策に、脅威モデリングという視点をぜひ持ち込んでみてください。