脅威モデリング（Threat Modeling）

脅威モデリングとは、ひとことで言えば、システムに対する潜在的な脅威を体系的に洗い出し、優先順位をつけて対策を設計するプロセスです。たとえば、WebアプリケーションのデータフローをDFD（データフロー図）で可視化し、各信頼境界を越えるポイントでなりすまし・改ざん・否認・情報漏えい・DoS・権限昇格の6カテゴリ（STRIDE）を検討します。代表的な手法にはMicrosoftのSTRIDE、攻撃者の視点で分析するDREAD、攻撃ツリーなどがあります。設計段階で脅威を特定することで、後工程での手戻りを大幅に削減できます。脆弱性診断やペネトレーションテストが「実装後の検証」であるのに対し、脅威モデリングは「設計段階での予防的分析」である点が異なります。