PASTA 脅威モデル
PASTA 脅威モデル とは何ですか?
PASTA 脅威モデルProcess for Attack Simulation and Threat Analysis。技術的脅威とビジネスインパクトを結び付ける、リスク中心・7 段階の脅威モデリング手法。
PASTA(Process for Attack Simulation and Threat Analysis)は、Tony UcedaVelez と Marco Morana が提唱したリスク中心の脅威モデリング手法です。手順は 7 段階で構成され、目的の定義、技術スコープの定義、アプリケーション分解、脅威分析、脆弱性・弱点分析、攻撃モデリング、リスク・インパクト分析を行います。PASTA は技術的な脅威とエクスプロイトを、定量化可能なビジネス目標・影響に結び付けることを重視し、データフロー図、攻撃ライブラリ、Abuse Case を活用します。NIST、ISO 27005、FAIR と整合する再現可能なプロセスが求められる大企業で多く採用されており、ASVS、MITRE ATT&CK、CAPEC とも親和性が高いです。
● 例
- 01
銀行がモバイル決済プラットフォームに PASTA ワークショップを実施し、収益影響に応じて不正系脅威を優先付けする。
- 02
PASTA 第 6 段階で CAPEC のパターンを用い、重要 API への現実的な攻撃シナリオを列挙する。
● よくある質問
PASTA 脅威モデル とは何ですか?
Process for Attack Simulation and Threat Analysis。技術的脅威とビジネスインパクトを結び付ける、リスク中心・7 段階の脅威モデリング手法。 サイバーセキュリティの コンプライアンスとフレームワーク カテゴリに属します。
PASTA 脅威モデル とはどういう意味ですか?
Process for Attack Simulation and Threat Analysis。技術的脅威とビジネスインパクトを結び付ける、リスク中心・7 段階の脅威モデリング手法。
PASTA 脅威モデル はどのように機能しますか?
PASTA(Process for Attack Simulation and Threat Analysis)は、Tony UcedaVelez と Marco Morana が提唱したリスク中心の脅威モデリング手法です。手順は 7 段階で構成され、目的の定義、技術スコープの定義、アプリケーション分解、脅威分析、脆弱性・弱点分析、攻撃モデリング、リスク・インパクト分析を行います。PASTA は技術的な脅威とエクスプロイトを、定量化可能なビジネス目標・影響に結び付けることを重視し、データフロー図、攻撃ライブラリ、Abuse Case を活用します。NIST、ISO 27005、FAIR と整合する再現可能なプロセスが求められる大企業で多く採用されており、ASVS、MITRE ATT&CK、CAPEC とも親和性が高いです。
PASTA 脅威モデル からどのように防御しますか?
PASTA 脅威モデル に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
PASTA 脅威モデル の別名は何ですか?
一般的な別名: 攻撃シミュレーションと脅威分析プロセス, PASTA。
● 関連用語
- appsec№ 1150
脅威モデリング
資産・脅威・脆弱性・対策を体系的に分析し、セキュリティを後付けではなく設計段階から組み込むための構造化された手法。
- compliance№ 751
OCTAVE メソッド
カーネギーメロン大学 SEI が開発した情報セキュリティリスク評価手法。重要資産に対する組織的・運用的リスクに焦点を当てる。
- compliance№ 143
CAPEC
MITRE が運営する公開攻撃パターンカタログ Common Attack Pattern Enumeration and Classification。既知の弱点を突くために攻撃者が用いるパターンを体系化している。
- compliance№ 936
リスクマネジメント
リスクを特定・分析・評価・対応・監視・伝達し、組織が定めた許容範囲内に維持するための調整されたプロセス。
- compliance№ 775
OWASP ASVS
OWASP アプリケーションセキュリティ検証標準。Web アプリケーションや API の設計・実装・検証に用いる、検証可能なセキュリティ要件のカタログ。