【脅威分析・TVRA】効果的なセキュリティリスク評価のステップ

はじめに

近頃はとても便利な世の中となりました。わからないことがあればすぐに調べることができますし、遠く離れた友人や家族とも気軽に連絡を取ることができます。
組み込み機器においては、運転中のカーナビによる道案内や、工場のロボットアームの制御や監視ができるようになりました。また、スマホから家電を操作することもできます。いわゆる、IoT（Internet of Things）です。

さて、さまざまなところから遠隔で操作や監視などを行えることは便利である一方で、外部からの攻撃を受ける可能性をも孕みます。便利であるとともに、セキュリティーの強化も求められるようになりました。

セキュリティーの理想は、全ての攻撃に対して保護できる最強なものでしょう。しかし、残念ながら、常に新しい攻撃方法が生まれてどんなに対策を施してもイタチごっこになるのが現実です。また、組み込み機器においては、扱う機器により扱う情報や搭載されるインターフェースが異なります。攻撃の手段や状況もさまざまで、機器ごとに異なる対策を行わなければなりません。

全ての対策を取ることは困難です。であれば、攻撃に対して有効な対策を優先的に行うことになります。しかし、攻撃を受けてから対症療法的に対策をしていては、常に後手後手に回ります。致命的な被害を受けることもあるため、事前に先回りして有効な対策をするが重要です。このようなセキュリティーの先回りとして、セキュリティ・バイ・デザインというものがあります。実装に着手する前の設計段階からセキュリティーを考慮して製品を作る、という考え方です。あらかじめセキュリティーを考慮することで、攻撃に堅牢なシステムとなるだけでなく想定外の攻撃方法が発見された際の対策も取り入れやすい構造とすることができます。

組み込み機器に対するセキュリティ・バイ・デザイン実現のためのセキュリティタスクとして、例を3つ挙げます。

●脅威分析
システムやサービスにおいて、どのような攻撃やリスクがあるかを体系的に洗い出すこと。攻撃者の視点から潜在的な脆弱性や攻撃経路を特定し、リスクの大きさや影響度を評価します。

●対策設計
脅威分析で特定されたリスクに対して、具体的な防御策やセキュリティー機能を設計すること。アクセス制御、認証・認可、暗号化、監査ログなどの技術的・運用的な対策を検討します。

●セキュリティテスト
設計または実装されたセキュリティー対策が正しく機能しているかを検証すること。脆弱性スキャン、ペネトレーションテスト、コードレビューなどの手法により問題点を発見し、改善に繋げます。

本記事では、この中の1つ、脅威分析についてご紹介します。

脅威分析とは？

脅威分析はセキュリティ・バイ・デザインに則った手段の1つです。設計の初期段階でシステムの安全性を確保するための基盤作業であり、設計情報をインプットにしてリスクを明確化させ、その結果を対策設計やセキュリティテストに活用します。扱う機器やシステムに対して以下の観点で行います。
●どのような攻撃を受ける可能性があるか？
●攻撃を受けた際の被害はどのようなものか？
●攻撃に対する有効はセキュリティー対策とは何か？

脅威分析に必要なインプット、および得られるアウトプットは以下です。
●インプット
●アウトプット

セキュリティ・バイ・デザインは「最初から安全な設計」を目指します。しかし、どのような脅威が存在するかを考慮しないまま対策を設計すると、重要なリスクを見落とす恐れがあります。脅威分析により、システム固有のリスクや攻撃パターンといった脅威を明確にすることで、無駄なく効果的な対策を講じることが可能になります。

脅威分析の4つのステップ

脅威分析には、大きく4つのステップがあります。
1.資産抽出
2.脅威導出
3.リスク評価
4.対策検討

それぞれについて簡単に紹介します。
1.資産抽出
価値のあるものを特定すること。システムにおいて、攻撃を受けたら困るもの、守りたいものを特定します。
また、それぞれにはどれほどの価値があり、攻撃を受けた際はどれほどの被害が出るかを推定します。

2.脅威導出
資産を脅かす事象を導き出すこと。特定した資産に対し、どのような攻撃を受けるか（脅威）を考えます。
誰が？どのように？どこから？といった観点です。
使うツールや、システムが持つインターフェース、具体的な攻撃状況を考えます。

3.リスク評価
脅威が資産を脅かす度合いの強さを推定すること。脅威が資産を脅かす際のリスクを評価します。リスクはおおまかに以下で算出します。（具体的な計算方法は、分析手法によって異なります。）

リスクの強さ＝被害の発生確率×発生時の被害の大きさ

4.対策検討
リスクを低減する対策を検討すること。脅威に対する有効な対策を検討します。観点として、費用対効果が高いものを選びます。全ての脅威を対策するのではなく、リスクが許容できる範囲まで小さくなるまで対策を考えます。

以上が脅威分析の4ステップです。

さまざまな脅威分析手法

さて、上記の4ステップを聞いても、「さぁ、みなさんやってください！」と即座に脅威分析をするには具体的な作業がイメージしづらいかと思います。実は、脅威分析にはさまざまな具体的な手法があります。いくつか列挙します。
●TVRA ※1
●制御システムのセキュリティリスク分析ガイド ※2
●DFD（Data Flow Diagram）
●STRIDE ※3
●Attack tree ※4
●Cyber kill chain ※5
それぞれの手法には向き不向きがあります。適用したいシステムに応じて、相性がよい脅威分析手法を選択することがより効果的な脅威分析をすることに繋がります。

参考サイト（外部サイト）:
※1 https://www.etsi.org/deliver/etsi_ts/102100_102199/10216501/05.03.01_60/ts_10216501v050301p.pdf
　＊2025年10月最新
※2 https://www.ipa.go.jp/security/controlsystem/riskanalysis.html
※3 https://learn.microsoft.com/ja-jp/azure/security/develop/threat-modeling-tool-threats
※4 https://datatracker.ietf.org/doc/html/rfc4949
※5 https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html

TVRA
先に紹介した脅威分析手法のうち、本記事ではTVRAを紹介します。TVRAは「Threat, Vulnerability, Risk Analysis」の頭文字を取った略語です。TVRAはシステムの資産、脆弱性、脅威を定量的にかつ体系的に表現できます。欧州電気通信標準化機構（ETSI）が策定した規格であり、多くの実績もある分析手法です。

TVRAは以下の10ステップで構成されています。
●ステップ1 : 評価対象を特定する
●ステップ2 : 目的を特定する
●ステップ3 : セキュリティーの機能的要求を特定する
●ステップ4 : 資産を体系的に整理する
●ステップ5 : 脆弱性と脅威レベルを体系的に特定する
●ステップ6 : その攻撃の蓋然性（どのくらいありそうか）と、影響を計算する
●ステップ7 : リスク値を確定する
●ステップ8 : セキュリティー対策を特定する
●ステップ9 : 対策のコスト分析を行う
●ステップ10 : 詳細要求仕様を決める

「脅威分析ハンズオン研修」ご紹介

弊社では、本記事で紹介したTVRAを体験できる『脅威分析ハンズオン研修』を受講できます。架空のIoTシステムに対して、TVRAを各ステップに従って体験し、脅威分析、TVRA、作業に必要な観点を学べる研修です。
初級編、実践編と異なるレベルを用意して、以下の弊社Webサイトより申し込み可能です。ご自身の希望に合わせてお申し込みください。

まとめ

セキュリティ・バイ・デザインに則った手法の1つ、脅威分析について概要を説明しました。インターネットなどから外部と繋がることが増えつつあり、攻撃を受ける脅威に対する対策も合わせて考慮する必要があります。また、攻撃方法は次々と新しいものが生まれます。脅威分析は一回やって終わりではなく、定期的に繰り返して行うことが重要です。今後も安心安全な製品を提供するためにも、大事にしていきたい観点ですね。

2025年11月14日公開
※この記事に掲載されている内容、および製品仕様、所属情報（会社名・部署名）は公開当時のものです。予告なく変更される場合がありますので、あらかじめご了承ください。