アジャイル脅威モデリング#1（脅威モデリングナイト#8）

Transcript

1. アジャイル 脅威モデリング #1 2025-4-16 脅威モデリングナイト #8 in Tokyo Masato KANEHARA

2. 誰向け？／どこに向かう？ 2 【問い】 ここに対してアジャイルのアプ ローチは使えるか？

3. ポジショニング（過去ナイトのテーマ） 3

4. whoiam • 金原 将人（X: @masakane55） • セーフィー株式会社 セキュリティエンジニア • セキュリティ：RISS、CISSP

   • アジャイル：CSM、CSPO • 趣味：筋トレ、柔道 • これまでの旅路 ↓↓ 4

5. Contents ・ アジャイルとは何か ・ 脅威モデリングをふりかえる ・ 脅威モデリングの罠 ・ アジャイル脅威モデリング ・

   アジャイル脅威モデリングの実践例 ・ まとめ 5

6. 6 アジャイルとは何か

7. なぜアジャイルなのか？ VUCAの時代で、変化が激しく、不確実性が高い。 7

8. なぜアジャイルなのか？ そもそも顧客（市場）は、価値を正しく認識できていない。 8

9. なぜアジャイルなのか？ リレー方式（ウォーターフォール型）だと、なんか上手くいかない。 9

10. アジャイルとは何か？ • アジャイル • スクラム • XP（eXtreme Programming) • カンバン

    • DevOps • リーンスタートアップ • テスト駆動開発 10 これらは何が起源で、どのように生まれていったのでしょうか？

11. アジャイルの歴史 11 1950-1970 ・トヨタ生産方式 1970～ ・ウォーターフォール Royce氏の論文に、リレー方 式で分かりやすい図があり、 それが誤って解釈されて、主 流になる。

    1995 ・スクラムが一般公開 2001 ・アジャイルマニフェストが制定 https://www.orangescrum.com/tutorial/agile-scrum-management-an-overview/introduction-to-scrum-methodology 1996 ・XP (Extreme Programming) 2008 ・DevOps 2010 ・スクラムガイド 初版 アジャイル起源 2007 ・カンバン 2011 ・リーンスタートアップ 1986 ・論文「新たなる新製品開発の 方法」 ラグビー方式の製品開発手法の提案 (本書籍の元ネタ ) https://www.praxisframewo rk.org/files/royce1970.pdf WFの起源

12. アジャイルマニフェスト（アジャイルソフトウェア開発宣言） • ドキュメント主導の重いソフトウェア開発プロセスに代わる方法の必要性が高まっていることに 気づいた 17 人の伝道者によって作成され、署名された。（ 2001年） • 4つの価値と、12の原則で構成される。 12

    https://agilemanifesto.org/iso/ja/manifesto.html

13. アジャイルの4つの価値 • 対話で共通理解を作り、顧客価値から始めて、頻繁にコラボレーションして、変化に 柔軟になりましょう、という感じ。 13 ツールはこだわらない。それよりもチームや顧客 と対話を通して目標や現状を共有 できている か？ 最初から100%のドキュメントを作ってから開発し

    なくてもいい。顧客価値から始める 。ただしドキュ メントを作らなくていいわけではない。 契約の壁で守るだけでなく、顧客を含めてコラボ レーションして一緒に作り上げるという関係構築 が大切である 。顧客に早くからフィードバックもら うのも大事。 顧客に価値があることなら、変化を受け入れる 。 ただし、計画やタスク量も柔軟に変化させて交渉 し合意をとっていく。 https://agilemanifesto.org/iso/ja/manifesto.html

14. アジャイルの12の原則 14 https://agilemanifesto.org/iso/ja/principles.html

15. アジャイルの12の原則 15 # 私たちは以下の原則に従う： 要は…（意訳）： 1 顧客満足を最優先し、価値のあるソフトウェアを早く継続的に提供します。 顧客に価値を提供し続けよう 2 要求の変更はたとえ開発の後期であっても歓迎します。

    変化を味方につけることによって、お客様の競争力を引き上げます。 変化はチャンス、変化に強くなろう 3 動くソフトウェアを、 2-3週間から2-3ヶ月というできるだけ短い時間間隔でリリースします。 タイムリーにフィードバックを得よう 4 ビジネス側の人と開発者は、プロジェクトを通して日々一緒に働かなければなりません。 共に働きワンチームになろう 5 意欲に満ちた人々を集めてプロジェクトを構成します。 環境と支援を与え仕事が無事終わるまで彼らを信頼します。 信頼し、自己組織化を目指そう 6 情報を伝えるもっとも効率的で効果的な方法はフェイス・トゥ・フェイスで話をすることです。 直接会話し議論を面倒がらないようにしよう 7 動くソフトウェアこそが進捗の最も重要な尺度です。 進捗も品質も現物で確認しよう 8 アジャイル･プロセスは持続可能な開発を促進します。 一定のペースを継続的に維持できるようにしなければなりません。 リズムよく走り続けよう 9 技術的卓越性と優れた設計に対する不断の注意が機敏さを高めます。 高いスキル・意識が品質を良くしよう 10 シンプルさ（ムダなく作れる量を最大限にすること）が本質です。 無駄を排除しよう 11 最良のアーキテクチャ・要求・設計は、自己組織的なチームから生み出されます。 良いチームになり価値の高い成果を出そう 12 チームがもっと効率を高めることができるかを定期的に振り返り、 それに基づいて自分たちのやり方を最適に調整します。 ふりかえりを行い、継続的に成長しよう

16. アジャイルのフレームワーク • アジャイルにはフレームワークがある。 • フレームワークはアジャイルを実践するためのプラクティスの集まり。 • 言葉は違うが同じ目的だったり、共通のプラクティスもある。 16 フレームワーク などなど

    これが有名

17. 17 https://theliberators.com/ スクラムのプラクティス

18. 価値も原則も分かった。 フレームワークも分かった。 で、結局、アジャイルは何なのか？ 18

19. アジャイルではないものとの比較 「アジャイル」ではない • 一連のルール • ガイドライン • 単なるマインドセット • 単なる方法論（プラクティス）の集まり

    「アジャイル」である • マインドセットとプラクティスが容赦なく繋がり、 • チーム（組織）自身が原則やプラクティスをどの ように適用するかを決め、 • チーム内の各自が、共通の目標と価値観に向 かって協力すること。 19 マインド セット プラクティ ス 目標 チーム（組織） ルール ガイド ライン 方法論 マインド

20. アジャイルとは何か？ • アジャイルとは「ムーブメント※」である • アジャイルの定義は、 「不確実で大荒れの環境で成功するために、変化を作り出し それに対応する能力」（by 17 人の伝道者） •

    アジャイルなチームとは、「 上記能力を身につけるべく、ムー ブメントを起こしていけるチーム 」を指す 20 ※ムーブメント：ある目的や価値観を中心に、人々が共感し、行動を起こし、広がっていく流れ

21. アジャイルとは何か？ • アジャイルとは「フィードバック駆動のアプローチ 」である。毎 週、毎日、毎時、毎分毎にその前の週、日、時間、分の結果を 見ながら適切に調整して進めていく。 • アジャイルとは、「どれだけうまくいっていないかをできるだけ 早く知ること 」だ。できるだけ早く知りたいのは、そうすれば状

    況をマネジメントできるからだ。 21

22. アジャイルは • 不確実で大荒れな環境で、うまくいっ てないことを素早く調整しながら成果 を出していくための「ムーブメント」であ る 22

23. 23 脅威モデリングをふりかえる

24. なぜ脅威モデリングなのか？（Recap） セキュリティを後で対応しようと思ったらコストがかかる。 24

25. なぜ脅威モデリングなのか？（Recap） 脅威モデリングはデザイン（Dev）段階でのプラクティスの一つである。 早くから攻撃者視点で設計を見直せて、修正コストを最小化できる。 25

26. なぜ脅威モデリングなのか？ 全員で「なぜセキュリティを実装するのか」の共通理解を作ることができる。（実はこれ重 要） 26 アジャイル時代のモデリング https://umtp-japan.org/pdf/agile/report/20140224_agile_modeling_1.pdf

27. 脅威モデリングの歴史（Recap） 27 https://www.docswell.com/s/shiho_sky/5R2Q4W-2024-10-11-063051 始まりはMicrosoftでのウォー ターフォール型に置けるシフ トレフトの動き （セキュリティ設計） 脅威モデリング マニフェストを制定

28. 脅威モデリングマニフェスト（Recap） 28 大切にしたいもの 行動指針 マインドセット

29. 脅威モデリングの4つの問い（Recap） 29 https://threatmodeling.connpass.com/event/346487/ →モデル作成 →STRIDE / MITRE ATT&CK / Attack

    Tree .. →DREAD / Priority .. →ふりかえり プラクティス ▪どのようにシステムが攻撃され得るかを理解する ▪4つの質問

30. 脅威モデリングを上手く実践できてますか？ 30

31. 31 脅威モデリングの罠

32. 「脅威モデリングの罠」にはまっている4つの兆候 • 脅威モデリング は大失敗だった。だから別の リスク評価方法 を試そう！ ◦ 上手くいかないからといって、移り気にフレームワークを変えていく • 脅威モデリング

    について話すだけで 脅威モデリング した気になる ◦ 専門用語にこだわる。もしくは特定のヒーロー的な人物に依存する。 • この組織の問題について話しているのに他の組織の話を持ち出して反論する ◦ 別の会社や世間がその方法で成功しているからと言って真似する • 脅威モデリング の適用自体が目的となってしまい、手段であるということを忘れてしま う ◦ 脅威モデリングは全社導入している！でも変わったことはあまりない。 セキュリティは相変わらず私たちセキュリティチームの仕事である 32

33. アジャイルでもよく起きる問題？ 33

34. 「フレームワークの罠」 • 表面的にスクラムなどのフレームワークを導入しても、組織 文化や目的が不明確なままだと形骸化する。 • なぜなら、根本原因が放置されるからだ。 34 1. 今の仕事のやり方は柔軟性に 欠けていて遅い

    2.柔軟で早くなれるアジャイルフ レームワークを選ぼう 3.アジャイルのプラクティスに表面的 に従う。なぜ柔軟性に欠けていて遅い のかを考えはしない 4.仕事のやり方が元に戻る。相変 わらず根底にある組織の問題に影 響を受け続ける

35. 「フレームワークの罠」にはまっている4つの兆候 • 今の手法やフレームワークは大失敗だった。だから別の新しいのを試そう！ ◦ 上手くいかないからといって、移り気にフレームワークを変えていく • アジャイルについて話すだけでアジャイルになった気になる ◦ アジャイル用語にこだわる。会議がアジャイル用語であふれるようになる •

    この組織の問題について話しているのに他の組織の話を持ち出して反論する ◦ 別の会社や世間がその方法で成功しているからと言って真似する • アジャイルプラクティスの適用自体が目的となってしまい、手段であるということを忘 れてしまう ◦ アジャイルプラクティスは全部導入している！でも変わったことはあまりない。組織 も相変わらずサイロ化していて、計画も2年サイクルのまま。 35

36. 罠から逃れる方法はある？ 36

37. 37 アジャイル脅威モデリング

38. 歴史は交わる 38 開発がアジャイル主流になってくる 中で、設計プラクティスである脅威 モデリングもアジャイルに寄らざる を得なくなっている。

39. 価値・原則も交わる 39 そのため、非常に似通った価値を設 定することで、脅威モデリングがアジャ イルの中にスムーズに入れるような狙 いが見える。

40. 罠から逃れる方法は同じはず！ 40

41. 「フレームワークの罠」から逃れる方法 【①意義のあるものにする】 ・ゴールと課題を設定する ・問い： 「自分たちの具体的なゴールは何か？現在のやり 方がどうゴールの達成を阻んでいるか？」 41 1. 今の仕事のやり方は柔 軟性に欠けていて遅い

    2.柔軟で早くなれるアジャ イルフレームワークを選ぼ う 3.アジャイルのプラクティス に表面的に従う。なぜ柔軟 性に欠けていて遅いのか を考えはしない 4.仕事のやり方が元に戻 る。相変わらず根底にあ る組織の問題に影響を受 け続ける 【②自分のものにする】 ・アジャイルの価値と原則を使って変化する ・問い： 「自分たちの具体的なゴールを達成するために役 立つアジャイルの価値と原則は何か？」 「なぜ」から問い直し、価値と原則に沿った自分たちのやり方を見つける

42. 【①意義のあるものにする】考えてみよう チームや組織が将来なりたい状態（ゴール）は？ チームや組織の現在の状態は？ 将来なりたい状態になれないと思う理由はなにか？（何が阻んでいるか？） 42 ？ ？ ？

43. 【①意義のあるものにする】例示 チームや組織が将来なりたい状態（ゴール）は？ チームや組織の現在の状態は？ 将来なりたい状態になれないと思う理由はなにか？（何が阻んでいるか？） 43 開発チームは、セキュリティも自分たちの日常業務の一つだと 認識して、セキュリティに責任を持っている。 セキュリティを考えるのはセキュリティ部門の責務であって、 開発チームはセキュリティ部門の指示を待てばいい。 開発チームにはセキュリティの専門知識もないし、何からどう守ればいいの

    かよく分からない。それに、リソースに余裕がないのですべての対策を実施 できるわけではない。 打ち手として 脅威モデリングが有効なら ならやる！

44. 【②自分のものにする】アジャイルの価値と原則 44 【3つのマインドセット】 １．顧客から始める ２．早期から頻繁にコラボレーションする ３．不確実性を計画する 価値と原則が交わるなら… シンプルに3つのマインドセットにまとめてみる。 チームが、これらのマインドセットを活かして、どの ように脅威モデリングを実施するかを自分たちで

    決めて、それを継続的に実施していくことこそ、 アジャイル脅威モデリング！！

45. 45 アジャイル脅威モデリングの実践例

46. 前提）顧客は誰で、その顧客のセキュリティに関連する価値は何か？ 46

47. 47 https://theliberators.com/ スクラムのプラクティス（再掲）

48. 3つのマインドセットとプラクティスを繋げて 考えてみる （＝ムーブメントにする） 48

49. １．顧客から始める（顧客中心主義） • ①脅威モデリングが顧客の価値に繋がると信じ、何を大切にして、どのように実践していくか、い つフィードバックをもらうかを、チームで合意して、仕事のプロセスに加え 、 • ②どのような脅威が価値を下げる のかを認識し、（初回ここで脅威モデリングをやってみるのもあり） • ③対策はバックログ（セキュリティ要件）

    に加えて管理する。 49

50. 参考）バックログ（セキュリティ要件）の工夫 50 https://learn.microsoft.com/en-us/security/engineering/threat-modeling-with-dev-ops を参考に作成

51. ２．早期から頻繁にコラボレーションする（協調） • ④脅威モデリングがチームの持ち物になるように セキュリティ専門家は伴走支援 して、 • ⑤チームは、自分たちがやりやすい「 軽量な脅威モデリング」を関係者含めて実践、 • ⑥それをスプリント毎（または数回毎）に

    繰り返し実施する 51

52. ３．不確実性を計画する（変化の許容） • ⑦脅威モデリングのやり方をふりかえりでちょっとずつカイゼン していき、 • ⑧バックログ（要件）も、システムや外部環境の変化に合わせて柔軟に見直す 52

53. 全体像。なんか取り入れることができそう。 53

54. 全体像。なんか取り入れることができそう。 54 Threat Modeling Manifesto

55. セキュリティ知識創造チームへ 55

56. 脅威モデリングを浸透させるための「セキュリティ専門家の5つの役割」 • ビジネス目標につなげて伝える ◦ ビジネス目標の達成のために脅威モデリングを軸にしたアプローチが必要という説明できれば拒否しにくい。 ◦ そのためには、セキュリティ戦略が必要。 • 最初は小さく始める ◦

    いきなり組織全体に大きく始めようとすると、反対意見などに押しつぶされてモチベが続かない。 ◦ 賛同してくれるチームを見つけて、トライアルで実験する。 ◦ 脅威モデリングも最初から完璧でなくていい。繰り返しやるので、価値に影響のあるリスクを順に対処していけば、おのずと良いものに なる（と信じるし、チームにも伝える） • 軽量な脅威モデリングのやり方（テンプレートなど）を用意する ◦ 軽量にできるテンプレート（モデリング用テンプレート、質問テンプレートなど）を用意しておく ◦ その使い方を最初に教育して、後はチームの持ち物になるように支援する。 • メカニズムを作る ◦ セキュリティチャンピオンプログラムを作り、チームの中にセキュリティの楔を作る ◦ 会社の人事評価に絡めて、セキュリティを主体的に取り組むチームやエンジニアのインセンティブになるようにする • セキュリティ専門家はコーチのように振舞う ◦ まるでセキュリティ版スクラムマスターのように。 ◦ セキュリティチャンピオンプログラムを始めているなら、セキュリティチャンピオンのコーチになる。 56

57. 57 まとめ

58. まとめ • アジャイル脅威モデリングとは、 「価値とプラクティスが容赦なく繋がったセキュリティ文化醸成のための　　ムー ブメント」 と捉えることができる。 ◦ チームが、価値・原則を活かして、どのように脅威モデリングを実施するかを自分たちで決めて、そ れを継続的に実施していき、それが組織に広がる •

    アジャイル脅威モデリングを活用することで、 「セキュリティがチームの持ち物になり、セキュリティを自律して考えて 　実践する組織作り」 に寄与することができる。 • アジャイル脅威モデリングを浸透させるために、 「ビジネス目標に整合する方向性やメカニズムを作り、罠に陥らずに、 　少しずつ組織に浸透させるための支援」 が必要。 それがセキュリティ専門家の役割。（ティーチングとコーチング） 58

59. おまけ 「チームや組織が将来なりたい状態（ゴール）」として、セーフィーのセキュリティ戦略を考 えてみました。 ブログには書いていませんが、戦略の打ち手に「脅威モデリングを軸にしたセキュリティチャンピオンプログラム」が 含まれています。 記事のフィードバックいただけると幸いです！（X: @masakane55） 59

60. Q＆A 60