サイバー脅威は単にシステムを攻撃するだけではありません ― 接続を通じて広がります。ULMは、そうした隠れたつながりが実際のリスクをどのように生み出すかを示します。
2023年にOktaのサポート認証情報が盗まれた際、侵害はアイデンティティプロバイダーにとどまりませんでした。それはSaaS統合、社内のレガシーアプリケーション、下流の開発パイプラインへと波及しました。Oktaのシステム自体が直接悪用されたわけではありません。攻撃は、それらのシステムを結びつけていた静かなリンクを通じて広がったのです。
ほとんどのセキュリティプログラムは、そうしたリンクをモデル化していません。統合リンクモデル(ULM)は、それがなぜ問題なのかを示しています。
サイバーセキュリティチームは、資産インベントリ、脆弱性スキャン、脅威インテリジェンスフィード、SBOM、構成アラート、リスクダッシュボードなど、膨大なデータに直面しています。しかし、重大なインシデントは依然として組織を不意打ちします。
問題は可視性ではなく、構造にあります。従来のツールは主にホスト、脆弱性、攻撃者の3つの領域に集中しています。多くの場合、脆弱性がどれだけ早く広がるか、攻撃がどこまで拡大するか、信頼がどれほど深く損なわれるかを決定するリンクは検証されていません。
ULMは、個々のコンポーネントではなく、デジタルシステムを結びつける関係性に分析の視点を移します。隣接性、継承性、信頼性のモデリングは、脅威モデリング、脆弱性分析、ガバナンスを統合する構造的フレームワークを提供します。
現行モデルが不十分な理由
ほとんどのサイバーセキュリティフレームワーク、たとえばNISTやMITREのフレームワークは、暗黙的にシステムを資産とコントロールの集合体として扱っています。リスクレジスターは脆弱性とその深刻度を一覧化し、脅威レポートは攻撃者のTTPを記述し、アーキテクチャ図はコンポーネントとネットワークを示します。しかし、リンク ― これらの要素が実際にどう相互作用しているか ― は多くの場合、文書化も、モデリングも、分析もされていません。
この盲点は、次の3つの大きな問題を引き起こします:
- システミックリスクの見落とし:組織は個々のコンポーネントを保護しますが、脆弱性が依存関係を通じてどう広がるか(例:サードパーティアプリに埋め込まれたLog4j)を見逃します。
- 優先順位付けの非効率:リンク構造がなければ、チームは孤立したシステムの高深刻度CVEを修正する一方で、重要な信頼経路上の低スコアの欠陥を放置します。
- インシデント対応の遅れ:ゼロデイが発生した際、チームは脆弱なコンポーネントの特定に奔走します。事前のリンクモデルがなければ、影響分析は推測に頼ることになります。
統合リンクモデル
NISTのゼロトラストアーキテクチャやMITRE ATT&CKフレームワークも有用ですが、ULMは構造的なモデリング層を提供します。従来のネットワーク図はトポロジーに焦点を当て、攻撃グラフは悪用手順をモデル化します。ULMはリンク、すなわち接続組織に注目します。
これは単なるトポロジーマップや攻撃グラフではなく、ULMは脆弱性の伝播や攻撃者の動きを決定する概念的なバックボーンとして機能します。
隣接性
隣接性は、何が接続されているか、到達可能かを示します:
- ネットワーク隣接性(例:VLAN、VPN、クラウドピアリング)
- サービス間のAPI接続
- フェデレーテッドアイデンティティ関係(例:OktaとSaaS)
- 組織間のデータ共有やサードパーティ統合
隣接性は、攻撃者や脆弱性がシステムをどのように横断できるかを決定します。たとえば、誤設定されたアイデンティティプロバイダーは、外部と内部ドメイン間の高信頼隣接性として機能する可能性があります。
継承性
継承性は、依存や制御の連鎖を通じてどのような特性、脆弱性、挙動が受け継がれるかを示します。例:
- ソフトウェア依存関係:脆弱なライブラリが、それに依存するすべてのアプリケーションに影響を及ぼす。
- アイデンティティシステム:侵害された認証情報が下流アクセスを許可する。
- CI/CDパイプライン:悪意あるビルドステップが生成されたすべてのアーティファクトに継承される。
継承性は、単一の欠陥が層を超えて連鎖し、脆弱性を作成・展開していないドメインにまで波及する理由を説明します。
信頼性
信頼性は、リンクの品質、信頼度、回復力を表します:
- 高信頼の社内SSO接続は、監視の甘いベンダーVPNとは異なります。
- 暗黙の信頼関係は、明示的に検証されたものよりも悪用されやすいです。
- 過剰に信頼された隣接性は、脆弱性や攻撃者の影響を増幅させます。
信頼性は、リンクが悪用された際にどれだけの被害が発生しうるかを決定します。低信頼で分割された環境の脆弱性は封じ込められるかもしれませんが、高信頼リンクの同じ欠陥はシステミックな障害を引き起こす可能性があります。
従来のネットワークモデルが静的なトポロジーやIPベースの到達性に依存するのに対し、ULMはネットワークを論理的・組織的・機能的な異種リンクのシステムとして抽象化します ― 物理的なものだけではありません。これにより、防御側は実際に攻撃者が利用する経路(アイデンティティ信頼チェーン、ソフトウェア依存関係、暗黙API隣接性など)をモデル化できます。
ULMと既存モデルの比較
ULMと既存のセキュリティモデルには多くの一般的なサイバーセキュリティモデリング手法があります。それぞれが脅威環境の理解を深めますが、通常はソフトウェアコンポーネント、攻撃者の目的、ネットワーク到達性、脆弱性の拡散など特定の側面に対応しています。しかし、統一的な構造的視点を提供するモデルは他にありません。ULMは隣接性、継承性、信頼性を統合し、脅威インテリジェンスと脆弱性分析を橋渡ししてシステミックリスクの経路を明らかにします。
| モデル | 焦点 | 主な用途 |
| SBOM依存グラフ | 静的コンポーネント構造 | ソフトウェアインベントリ、ライセンス遵守、脆弱性スキャン |
| アタックツリー | 論理的な攻撃者の目的とサブゴール | 脅威モデリング |
| アタックグラフ | 状態遷移とネットワーク到達性 | ペネトレーションテスト、ラテラルムーブメント分析 |
| 脆弱性伝播モデル | 欠陥が依存関係を通じてどう広がるか | ブラスト半径分析、パッチ優先順位付け |
| ULM | 構造的リンク:隣接性、継承性、信頼性 | 脅威と脆弱性の統合的視点;システミックリスク分析 |
ULMは単一の現象に依存しません。ソフトウェアサプライチェーン、ネットワークトポロジー、アイデンティティ基盤、組織関係をリンクの共通語彙で記述できます。この柔軟性により、脅威評価、脆弱性分析、アーキテクチャモデルの統合基盤として堅牢です。
ULMの新規性は、脆弱性や脅威をリスト化することではありません ― それらは既知の概念です。新規性は、機能的・継承的・信頼的な関係を統合するリンクを通じてエンタープライズをモデル化する点にあります。これはネットワークトポロジー(ルーター、VLAN、IP)と攻撃グラフ(脅威経路)の中間に位置し、まさに多くの組織に欠けているものです。
シンプルな例:Oktaとその先
ほとんどの企業はハイブリッドで、内部・外部に多数の依存関係を持っています。Oktaの侵害は、サポート認証情報の盗難から始まり、攻撃者はアイデンティティプロバイダーの高信頼接続にアクセスしました。このとき、ハイブリッドな企業環境には以下の主要要素が含まれていました:
- 外部アイデンティティプロバイダー(IdP)、この場合はOktaによる認証。
- SSOで統合された複数のSaaSアプリケーション。
- IdPからのアサーションを追加検証なしで信頼する社内レガシーアプリケーション。
- オープンソースライブラリを社内およびSaaS拡張に取り込む開発パイプライン。
攻撃者は盗まれた認証情報でIdPを侵害しました。これらの隣接性を通じて、SaaSおよび社内アプリケーションに到達しました。継承性によって侵害は下流に拡大し、個々の脆弱性を悪用せずとも影響が増幅 ― 構造的リンクが孤立した欠陥ではなく、組織全体の広範な露出をもたらすことを示しています。IdPが高信頼ゾーンで運用されていたため、その侵害は乗数的な効果を生みました。
脆弱性の観点から分析すると、社内アプリのいずれにも重大なCVEがなかったかもしれません。脅威インテリジェンスの観点では、攻撃者プロファイルは既知でした。リンクの観点が有用だった可能性があります。
ULMの戦略的メリット
リンクの視点は、攻撃者が信頼された接続を伝い、隣接性や継承依存を連鎖させて強化された境界を回避する方法を明らかにします。構造的関係 ― アイデンティティ信頼、ソフトウェアサプライチェーン、暗黙統合 ― をマッピングすることで、防御側は静的な脆弱性リストや孤立した脅威インテリジェンスでは見えない隠れた経路を把握し、真のシステミック露出を明らかにできます。
ULMは以下のための構造的基盤を提供します:
- より良い優先順位付け:脆弱性と攻撃者経路が交差する場所に防御を集中。
- 迅速な影響分析:新たな脆弱性を既存のリンクマップに重ねて素早く露出を特定。
- 脅威と脆弱性の統合:脅威TTPを隣接性や信頼経路にリンクし、脆弱性を継承コンポーネントにマッピング。
- クロスドメインの洞察:IT、OT、アイデンティティ、サプライチェーンを一つのフレームワークで記述。
- ネットワーク構造の新たな視点:ネットワークを単なるノードとエッジではなく、リンクグラフとして再定義。
始め方
ULMの導入は、孤立した資産からシステムを結びつける関係性への視点転換から始まります。マッピングの前に、組織は隣接性、継承性、信頼性というリンクがシステミックリスク分析のバックボーンを形成し、より戦略的・統合的・先読み的なサイバーセキュリティ意思決定を可能にすることを理解すべきです。
- 資産だけでなくリンクをインベントリ化する。隣接性(ネットワーク接続、API統合)や継承経路(アイデンティティ、ソフトウェア依存)をマッピング。
- 信頼性を明示的に評価する。どのリンクが暗黙的に信頼され、どれが明示的に検証されているかを特定。
- 脆弱性と脅威データを重ねる。スキャン、SBOM、インテリジェンスで交差点を特定。
- 優先順位付けとシナリオ計画。どの継承脆弱性が高信頼隣接性上にあるか?どの攻撃者がそれを悪用できるか?
- 反復と統合。時間をかけてULMマップをダッシュボード、インシデント対応、机上演習に組み込む。
より徹底したシステミックアプローチ
攻撃者はエンドポイントだけでなく、その間の隙間を突きます。統合リンクモデルは、脅威と脆弱性が交差する構造的な空間を体系的に分析する手法を提供します。ネットワークをインフラではなくリンクでモデル化することで、ULMはCISOに、デジタルシステムがストレス下 ― 脆弱性、攻撃者、あるいはその両方 ― でどう振る舞うかを根本的に新しい方法で理解する手段をもたらします。
本記事は「United States Cybersecurity Magazine」2025年秋号の拙稿「Unified Linkage Models: Recontextualizing Cybersecurity」を元に編集したものです。詳細は原文をご参照ください。
この記事はFoundry Expert Contributor Networkの一環として公開されています。
参加希望はこちら
