最初の投稿なので、この会社を立ち上げた思いを書いてみようと思います。本記事では、脆弱性診断の現場で感じた課題と、脅威モデリングとの出会いを通じて、株式会社セキュアモデリングを立ち上げた背景についてお話しします。
私は10年以上、脆弱性診断やペネトレーションテストに従事してきました。特にアプリケーション診断においては、脆弱性診断プロジェクトの立ち上げから診断結果の報告、脆弱性の修正支援まで、開発者の皆さんと関わりながら業務を進めてきました。
診断業務は、アプリケーションやシステムが完成(またはほぼ完成した)状態で開始されますが、開発工程としては「右」と表現されるリリース直前の段階、または完成して稼働しているシステム上で実施されます。そのため、根本的な設計レベルでの改修が必要な場合、開発者の負荷が非常に高くなってしまう、あるいは改修自体が難しいといったケースを何度も経験してきました。
そんな中、2023年にOWASP主催で開催されたグローバルカンファレンス AppSec EU において、Adam Shostack氏による脅威モデリングのトレーニングコースの募集を目にしました。脅威モデリングについては、これまでの診断業務で課題だと感じていた「開発者負担を抑えつつ、設計段階でセキュリティ要件の決定と検証を行う」ことを実現できるプロセスだと考え、迷うことなく参加を決めました。当時は、単に設計段階でのセキュリティ要件定義を推進するための手法程度にしか捉えていませんでしたが、多くの価値をもたらすプロセスであることを学びました。
その後、OWASP Sendaiでのワークショップ開催を皮切りに、日本全国で多様な参加者と共にハンズオンワークショップを実施してきました。各地のコミュニティリーダーの皆さんの支援を受けながら、新しい手法を模索し、実践を通じてしか得られない経験を積む中で、多くの利点を実感してきました。さらに、OWASPやThreat Modeling Connect(TMC)といったグローバルコミュニティの一員として活動する中で、世界の有識者や実務経験者との交流を通じて、知見を一層深めることができました。
現在、私の見ている範囲では、セキュリティ担当者、開発者、運用者、システム企画者、経営者などが、それぞれ現場で直面しているセキュリティ上の課題を横断的に共有する機会はまだ少ないと感じています。脅威モデリングによって、多様な背景や経験、役割を持つ関係者同士が対話し、企業の方向性やリソース、要件と整合した納得感のあるセキュリティ対策を導くことで、組織全体をより効果的に強化できると信じています。
これらの知見や経験、手法を継続的に高めながら、顧客にリアルタイムでフィードバックしていくことで、より強い組織づくりに貢献できると確信し、セキュアモデリングを立ち上げました。今後も能動的に世界から最新情報を取り入れ、日本の社会や文化に適した形で還元していく覚悟です。よろしくお願いいたします。
株式会社セキュアモデリング 代表取締役 小笠貴晴