Entry № 764
ミスユースケース
ミスユースケース とは何ですか?
ミスユースケースシステムが阻止すべき相互作用を記述したネガティブなユースケースで、正規のユースケースと同じ図上で分析する。
ミスユースケースは UML ユースケースモデリングを拡張し、敵対的アクターと有害な目標を加えたものです。脅かす対象のユースケースと同じ図に「脅かす」「軽減する」といった関係で描かれ、どの安全対策がどの脅威を打ち消すかを設計者が即座に把握できます。要件定義の初期段階でアビューズケースと併せて作成し、テスト可能なセキュリティ要件へ変換されます。ネガティブな要件を明示することで、非機能要件としてのセキュリティ抜けを減らし、QA に明確な攻撃検証リストを提供できます。
● 例
- 01
ミスユースケース「JWT を偽造する」はユースケース「注文を送信する」を脅かし、「ローテーション鍵で署名検証する」で軽減する。
- 02
ミスユースケース「ログインへのブルートフォース」はレート制限とアカウントロックで軽減する。
● よくある質問
ミスユースケース とは何ですか?
システムが阻止すべき相互作用を記述したネガティブなユースケースで、正規のユースケースと同じ図上で分析する。 サイバーセキュリティの アプリケーションセキュリティ カテゴリに属します。
ミスユースケース とはどういう意味ですか?
システムが阻止すべき相互作用を記述したネガティブなユースケースで、正規のユースケースと同じ図上で分析する。
ミスユースケース からどのように防御しますか?
ミスユースケース に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
ミスユースケース の別名は何ですか?
一般的な別名: ネガティブユースケース。