Shikata Ga Nai

Private? There is no such things.

脅威のモデリングについてかるくふれてみた

Hello there, ('ω')ノ

 

脅威のモデリングは、開発ライフサイクルの設計段階で行うと。

最も効果的で有益で。

バグを修正するコストは、SDLCの後の段階で大幅に上昇しますので。

なので脅威モデリングは、ソフト開発ライフサイクルで一般的に使用されていて。

これで、起こり得るすべてのセキュリティ上の欠陥を理解し説明できて。

 

一般に脅威のモデリングプロセスは次の手順に分類できて。

 1.セキュリティ対策方針の特定
 2.資産と外部要因/依存関係の特定
 3.トラストゾーンの識別
 4.潜在的な脅威と脆弱性の特定
 5.脅威モデルの文書化

 

また、効果的で実用的な脅威モデルは、STRIDEとDREADを組み合わせて作成して。

 ■STRIDE

  S—spoofing(なりすまし)

  T—tampering(改ざん)

  R—repudiation(否認)

  I—information disclosure(情報開示)

  D—denial of service(サービス拒否)

  E—elevation of privileges(特権の昇格)

 

 ■DREAD 

  D—damage potential(損傷の可能性)

  R—reproducibility(再現性)

  E—exploitability(悪用可能性)

  A—affected users(影響を受けるユーザ)

  D—discoverability(発見可能性)


最も使用されている脅威モデリングのツールは、マイクロソフトから提供されていて。

下記サイトからダウンロードして無料で使用できて。

 https://docs.microsoft.com/ja-jp/azure/security/develop/threat-modeling-tool-getting-started

 

f:id:ThisIsOne:20200525133416p:plain

 

Best regards, (^^ゞ