脅威の全体像

OWASP（Open Worldwide Application Security Project）が公開する Web アプリケーションの重大リスク Top 10 は、セキュリティ対策の優先順位を決めるうえで広く参照されています。

主なリスクには、インジェクション（SQL インジェクション等）、認証の不備、機微データの露出、アクセス制御の不備、セキュリティの設定ミスなどが含まれます。

定期的に更新されるため、最新版を確認することが重要です。

• スクリプトキディ: 既存のツールやスクリプトを使う初心者レベルの攻撃者
• ハクティビスト: 政治的・社会的な目的を持つ攻撃者
• 犯罪組織: 金銭目的で組織的に活動する攻撃者。ランサムウェアやフィッシングが主な手法
• 国家支援型攻撃者: 国家の支援を受けた高度な攻撃者（APT: Advanced Persistent Threat）。標的型攻撃を行う
• 内部脅威: 組織内部の関係者による意図的または偶発的な脅威

脅威モデリングは、システムに対する潜在的な脅威を体系的に特定・評価するプロセスです。

代表的な手法として STRIDE（Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege）があります。

設計段階で脅威モデリングを実施することで、事前にリスクを洗い出し、適切な対策を計画できます。