—
今回の記事は、どちらかというとすでに脅威モデリングの価値を理解できている実践者やワークショップにより体感した方を対象としています。これから脅威モデリングを始めたいという方向けの記事はこの後シリーズ形式で開始する予定です。
—
2026年4月11日(土)に徳島サイバーセキュリティ勉強会様主催の脅威モデリングワークショップに講師として参加いたしました。徳島でのワークショップ開催はこれで3回目となり脅威モデリング実践者も増え17名の参加者のうち5名が実践者という形に成熟してきました。
当ワークショップの目的は下記の意見交換を主眼としました。
・ 人間とAIのそれぞれの強み&弱みについて
・ 人間とAIの役割分担
・ AIを脅威モデリングに活かすにはそのプロセスの中にどのように組み込んでいけばよいか
ワークショップでは下記のマインドマップをベースとして、議論を重ねました。
その議論の前提を揃えるために、初めに「脅威モデリングの価値及び活動」を定義しました。
・何を守るか明確にする
・どこで壊れうるかを考える
・誰がそのリスクを引き受けるかを明確にする
・後で高コストになる修正を減らす
・関係者の認識を揃える
脅威モデリングは開発に関わる「人間」が中心となってその中での理解を高めることだと私は考えています。AIはそのためのツールであること。また、「脅威の列挙」が目的ではなく、システムを理解し、起こりうることを考え、対策を考え、全員参加を前提としてチーム内の認識を揃える。この脅威モデリングプロセスの効果として組織、すなわち、そこに関わる人間を強化する力があると考えています。
こうした脅威モデリング観を元に人間とAIの役割分担を考えてみました。
【人間の役割】
・スコーピング
・前提の確認
・ビジネス固有の脅威の判断
・多様な視点の活用
・意思決定
・実行におけるステークホルダーとの調整
【AIの役割】
・たたき台の作成
・人間と異なる視点の提供
・脅威の列挙
・網羅性の補強
・再レビュー支援
人間がビジネスを実行するというモチベーションを持ち、そのビジネスを実行することが原則であることから、ビジネスコンテキスト理解や決定が必要な事柄は人間が実行し、AIはそれを補助するという位置づけです。
これを前提としてワークショップではサンプルシステムを使用して参加者の皆さんに下記を実行していただきました。このワークショップではドローンを活用した食品配送システムを前提としており、ビジネス、物理、IT全ての幅広い脅威の検討が求められる内容です。
・ビジネスの前提の検討
・DFDの作成
・脅威カテゴリーの理解
参加者の各グループで作成したDFDを入力として、まずはサイボウズの湯浅潤樹様開発のThreat Thinkerを使用して解析、次にClaudeを使用して解析しました。
https://github.com/melonattacker/threat-thinker
https://zenn.dev/melonattacker/articles/a01628d9f1ff88
複数グループで実行後下記の傾向が見られました。
・どちらの方法もユーザーが作成したDFDに依存してしまうこと
・DFDにより結果に偏りがあらわれ、想定していた網羅性や、偏りのなさに満足した結果が得られないこと
・システム上の技術的な脅威に限定されてしまうこと
次にClaudeにはDFDに加えて、このシステムのビジネスコンテキストも与えて解析しました。
結果として
・ドローンを使用した物理的なセキュリティの脅威も含まれてきた
・ビジネス面での脅威も含まれてきた
・人間が見つけられなかった脅威もあり、補完的な役割として機能してくれる期待が生まれた
まだ1回目の試行ですが、今回は下記の知見と発想を得ることが出来ました。
・期待する結果を得るには人間が目的に合った十分な資料を準備する必要がある
・結果は人間が準備した資料によりバラツキが出てしまうため、人間のレビューは必須
・人間が準備する部分を「質問セット」のような形である程度定型化することでバラツキの幅を抑えることが出来るかもしれない
・理解して意思決定して自分ごととして全員参加で実行する(させる)のは人間が主体である
個人的に感じた問題点は3つあります。
1つ目は、生成AIに十分に理解させるための資料を人間が準備せざるを得ず、その資料作成の工程自体が脅威モデリングの大部分と重なっているのではないか、という点。
2つ目は、最終的にセキュリティ専門家のレビューが必要であるなら、専門家のワークロード増加につながる可能性がある点。
3つ目は、結果を十分に精査せず鵜呑みにすると、不要な要件追加を招きかねない点です。
これまで課題であった専門家以外の担当者による負担軽減は期待できる部分があります。一方、今回の試行からは、AIが有効に機能するためにも人間による前提整理、文脈付与、レビューが欠かせないことが分かりました。脅威モデリングの4つの質問「何に取り組んでいるのか?」「何が起こりうるのか?」「どう対策を取ればよいのか?」「上手く実行できているか?」この質問に答えながら進めていく主体は人間だという結論に至りました。
今回は脅威の発見に着目してのワークショップでしたが、現実世界ではスコーピング、脅威モデリングの進め方の設計、優先順位付け、意思決定、開発プロセスへの反映も必要となります。このあたりでもAIの活用に関してまだ多くの課題が存在していると感じます。
こうした課題を踏まえて、現時点でAIをどのように活用するのが現実的なのか考えてみました。今回の試行からは、現状ではAIを脅威モデリングの主体にするのではなく、たたき台の作成、人間の思考を補助する道具として使うのが適切だと感じました。たとえば、追加観点の提示、レビュー支援といった用途では有効性が期待できます。一方で、前提整理、文脈付与、優先順位付け、意思決定、開発プロセスへの反映は、引き続き人間が中心となって担う必要があると考えます。
このような貴重な機会を提供していただいた徳島サイバーセキュリティ勉強会のみなさまに感謝いたします。これからもどこかのワークショップで少しずつ実験を重ねていきたいと思っております。
小笠貴晴
当ブログへのフィードバックをお願いします。フィードバック内容は今後の記事の参考にしたいと思っております。
https://docs.google.com/forms/d/e/1FAIpQLSf_reR8HtijC0aDEsSLfNZOsv-YjUNoDy6hJAeWJN1E06qvIA/viewform?usp=publish-editor