VerSprite、「Fork」と「Knife」を提供開始、現代のソフトウエア開発に対応するAI活用型脅威モデリングとアドバーサリアルテストを実現

2026/6/28 14:27 ビジネスワイヤ

アトランタ--（BUSINESS WIRE）-- （ビジネスワイヤ） -- リスクベースの脅威モデリング分野の世界的リーダーであり、PASTA（Process for Attack Simulation and Threat Analysis）手法の開発企業であるVerSpriteは、継続的なアプリケーション脅威モデリング・プラットフォーム「Fork」 ( www.forktm.com）の一般提供を開始したことを発表しました。あわせて、WebアプリケーションおよびWeb APIエンドポイント向けのAI主導・人間による監督型のアドバーサリアルテスト・プラットフォーム「Knife」も提供開始します。この2つの製品により、製品セキュリティーの新たな運用モデルを実際の運用へと展開します。アプリケーションをセキュアに設計し、継続的に脅威モデリングを行い、開発プロセスそのものに積極的なテストを組み込み、安全性を確保します。

今回の発表は、あらゆるセキュリティー責任者が認識しながらも、多くのツールでは解決できていなかった課題に対応するものです。AI時代において脅威モデリングの重要性はかつてないほど高まっていますが、その実施はいまだに時間と手作業を要し、現在ではなく過去の脅威環境を前提として設計されたフレームワークに依存しているという課題です。

課題：脅威モデリングはこれまで以上に重要になっている一方、多くのツールはいまだに2005年当時のアプローチに依存

過去20年にわたり、アプリケーション脅威モデリングは主にSTRIDEに依存してきました。STRIDEは、Spoofing（なりすまし）、Tampering（改ざん）、Repudiation（否認）、Information Disclosure（情報漏えい）、Denial of Service（サービス拒否）、Elevation of Privilege（権限昇格）の6つに脅威を分類するためのニーモニックです。STRIDEは脅威を分類する上では有用ですが、それ自体は手法ではありません。リアルタイムの脅威インテリジェンスを取り込むことができず、ビジネスへの影響度を評価することもできません。また、その静的な分類では、持続的な攻撃、恐喝、二重恐喝型ランサムウェア、サプライチェーン侵害、さらにはAI対応アプリケーションによって生じた新たなアタックサーフェスなど、今日のリスクを特徴付ける攻撃者の行動を捉えることはできません。

その結果、多くの組織で同じボトルネックが生じています。脅威モデリングは一度限りの大量のドキュメント作成作業として扱われ、開発ライフサイクルの後半で実施されるため、アプリケーションが変更されるたびに陳腐化し、その脅威が実際に存在するかを検証するテストともほとんど結び付いていません。組織がより高速なリリースを進め、開発スタック全体にAIを導入する中、ソフトウエアの進化速度と脅威モデリングの速度とのギャップは拡大し、重大なリスクとなっています。

ソリューション：スプリント速度で実現するリスク中心の脅威モデリング

Forkは、VerSpriteの創業者兼最高経営責任者（CEO）であるトニー・ウセダベレスが共同開発した、リスクを中心に据え、ビジネスとの整合性を重視する唯一の脅威モデリング手法であるPASTAを、ソフトウェアとして実用的に実装したプラットフォームです。PASTAは、脅威を抽象的に分類するのではなく、ビジネス目標から始まり、アタックサーフェスの特定、アプリケーション分解、脅威分析、弱点・脆弱性分析、攻撃モデリング、そしてリスクと影響分析という7つのステージを経ることで、発生可能性が高く、発生した場合の影響も大きい脅威を特定できるようになります。

Forkは、この厳密なアプローチを現代の開発サイクルに適用し、チームが2時間未満で防御可能かつリスク優先順位付けされた脅威モデルを作成し、Sprint 1から継続的に最新の状態へ維持できるよう支援します。主な機能は以下のとおりです。

AIによって高速化されたアタックツリー：ForkのAI機能は、アプリケーションのアタックツリーをインテリジェントに枝刈りし、不要なノイズを除去します。これにより、理論上想定されるすべての攻撃経路ではなく、実現可能で影響の大きい攻撃経路に分析担当者が集中できます。
コンテキスト化された脅威モデル：Forkは、ライブのサイバー脅威インテリジェンス、製品のテクノロジースタック全体に関する最新の脆弱性データ、さらに実際のアドバーサリアルテストによって裏付けられた現実的な攻撃ベクトルを各脅威モデルへ自動的に反映します。
業界標準に準拠した分類体系：プラットフォームは、信頼性の高いMITREおよびOWASPのフレームワーク（CWE、EPSSスコアを含むCVE、CAPEC、ATT&CK、D3FEND、ASVSなど）と検出結果を自動的に関連付け、的確かつ根拠に基づくリスク低減策の策定を支援します。
独自の残留リスク計算式：テストの完了や環境の変化に応じて残留リスクを自動的に再計算することで、意思決定者は常に最新かつ正確なリスク状況を把握できます。
単一のダッシュボード：業界の脅威、アプリケーションのアタックサーフェス、脅威インテリジェンスを単一の統合ビューに集約し、セキュリティ部門、エンジニアリング部門、プロダクト部門、ビジネス部門の関係者が共通の情報に基づいて連携・意思決定を行えるようにします。

設計図から実証へ：「Knife」を発表

脅威モデルは、優先的に対処すべき攻撃経路を明らかにします。Knifeは、それらが実際に成立するかどうかを検証します。

VerSpriteは、WebアプリケーションおよびWeb APIエンドポイント向けのAI主導・人間による監督型アドバーサリアルテストプラットフォーム「Knife」を発表しました。本プラットフォームは、VerSpriteのBREAKERS OffSecチームが20年以上にわたり培ってきた、業界で高く評価されているオフェンシブ・セキュリティーの知見を学習しています。Forkがアドバーサリアルテストの設計図（ブループリント）として機能するのに対し、Knifeはその設計図に基づいて実際のテストを実行します。AIの拡張性と高速性に、専門家による監督を組み合わせることで、現実の攻撃環境に即した精度で脆弱性の悪用可能性を検証します。

この統合により、これまで脅威モデリングとテストを分断していたプロセスがつながります。Fork上の脅威モデルから、特定の弱点や攻撃パターンに対するオンデマンド・テストを直接依頼でき、Knifeがテストを実施します。その結果はモデルへ反映され、Forkが製品の残留リスクを自動更新します。これにより、脅威モデリングとアドバーサリアルテストは、順次実施される独立したプロセスではなく、継続的に自己更新されるシステムとなります。

新たな運用モデル「AI SecOps」

「製品およびソフトウエア・セキュリティーの未来は、AI SecOpsという統合モデルにあります。製品は、後からセキュリティーを追加するのではなく、ソフトウエアのビルドプロセスの一部として、設計段階から安全性を考慮し、テストされるべきです。STRIDEは業界に共通言語をもたらしました。PASTAは手法を確立しました。そして今、ForkとKnifeは運用スピードをもたらします。継続的な脅威モデリングとAI主導の統合テストにより、実際のソフトウェア開発のスピードと、現実の攻撃者の行動変化に対応できるようになります。」

— VerSprite CEO兼創業者、PASTA手法共同開発者トニー・ウセダベレス

深いシステム統合がもたらす実運用レベルの可視性

Forkは、企業が既に利用しているセキュリティー・ツールを置き換えるのではなく、その価値を高めるよう設計されています。SAST、DAST、ソフトウエア・コンポジション解析、脆弱性スキャン、クラウド・セキュリティー・ポスチャー管理、アタックサーフェス管理（CASM）、ペネトレーション・テスト・プラットフォーム、ITサービス管理など、AppSecエコシステム全体との連携により、Forkは分散して存在するセキュリティ情報を統合し、継続的に更新されるリスクの全体像を可視化します。ServiceNow、Veracode、Snyk、Semgrep、Checkmarx、OpenCTI、Qualys、Tenable、Mandiant、Archerをはじめとする各種ソリューションとの連携に対応しており、今後も対応範囲を拡大していく予定です。

その成果として、運用で実際に活用できるリアルタイムの可視性が実現します。継続的またはオンデマンドで実施されるテストが完了し、その結果がフィードバックされるたびに、製品の脅威モデルと残留リスクは開発スピードに合わせて自動的に更新されます。これにより、セキュリティ部門およびプロダクト部門の責任者は、何が問題となり得るのか、その発生可能性、ビジネスへの影響を常に最新の状態で把握できます。

提供開始

Forkは既に提供を開始しています。無償版の「Fork Community」では、SBOMまたはOVAL経由で脆弱性を取り込める単一アプリケーション向け脅威モデルを利用できます。一方「Fork Enterprise」では、アプリケーション数やチーム数の制限がなくなり、すべてのシステム連携機能に加え、シングルサインオン（SSO）、きめ細かなアクセス制御、監査ログなどを利用できます。さらに「Fork Enterprise PT」では、KnifeおよびVerSpriteのBREAKERSチームによるオンデマンドのアドバーサリアルテスト機能が追加され、脅威モデル上から直接テストを依頼できます。また、VerSpriteは、専門家によるトレーニングおよび運用支援を提供する「Threat Modeling as a Service（脅威モデリング・アズ・ア・サービス）」も提供しています。

詳細、デモのご依頼、または無料での利用開始については、www.forktm.comをご覧ください。

VerSpriteについて

VerSpriteは、リスクベースの脅威モデリング、オフェンシブ・セキュリティー、マネージド・セキュリティー・サービスを専門とするグローバルなサイバーセキュリティー企業です。2007年に設立され、ジョージア州アトランタに本社を構えています。PASTA（Process for Attack Simulation and Threat Analysis）手法の考案企業として知られ、Fortune 500企業や世界中の製品開発組織と連携し、構造化されたデータドリブンかつ攻撃者視点のアプローチを通じてサイバーリスクの低減を支援しています。詳細は、www.versprite.comをご覧ください。

Forkについて

Forkは、VerSpriteが提供する継続的アプリケーション脅威モデリング・プラットフォームです。PASTA手法を基盤とし、AIによって高速化されたForkは、セキュリティー、エンジニアリング、プロダクト各チームが2時間未満でリスク中心の脅威モデルを作成できます。また、リアルタイムの脅威インテリジェンスや技術スタック全体の脆弱性情報を反映しながら、アプリケーションの進化に合わせて脅威モデルを継続的に最新の状態へ維持できます。さらに、Knifeとの統合により、AI主導のアドバーサリアルテストも利用可能となり、脅威モデリングから検証までを一貫して実施できます。

本記者発表文の公式バージョンはオリジナル言語版です。翻訳言語版は、読者の便宜を図る目的で提供されたものであり、法的効力を持ちません。翻訳言語版を資料としてご利用になる際には、法的効力を有する唯一のバージョンであるオリジナル言語版と照らし合わせて頂くようお願い致します。