STRIDE モデル
STRIDE モデル とは何ですか?
STRIDE モデルソフトウェアの脅威を Spoofing、Tampering、Repudiation、Information Disclosure、Denial of Service、Elevation of Privilege に分類する、Microsoft 由来の脅威分類フレームワーク。
STRIDE は、1990 年代後半に Microsoft の Loren Kohnfelder と Praerit Garg が考案した脅威モデリングフレームワークで、Microsoft Security Development Lifecycle(SDL)に組み込まれています。アナリストは、データフローダイアグラム(DFD)上のシステム構成要素を 6 つのカテゴリにマッピングして脅威を列挙します:Spoofing(なりすまし)、Tampering(改ざん)、Repudiation(否認)、Information disclosure(情報漏えい)、Denial of service(サービス拒否)、Elevation of privilege(権限昇格)。各カテゴリは、認証・完全性・否認防止・機密性・可用性・認可といった侵害された安全特性に対応します。STRIDE はセキュア・バイ・デザインの取り組み、規制上の脅威モデリング要件(FDA の医療機器の市販前サイバーセキュリティ、自動車の UN R155 や ISO/SAE 21434 など)、AppSec プロセスで広く用いられ、DREAD や攻撃ツリーと組み合わせて使われることも多い手法です。
● 例
- 01
アーキテクトが設計レビューで DFD の各信頼境界に対し STRIDE の脅威を付記する。
- 02
医療機器メーカーが FDA の市販前サイバーセキュリティ要件を満たすため、STRIDE に基づく脅威を文書化する。
● よくある質問
STRIDE モデル とは何ですか?
ソフトウェアの脅威を Spoofing、Tampering、Repudiation、Information Disclosure、Denial of Service、Elevation of Privilege に分類する、Microsoft 由来の脅威分類フレームワーク。 サイバーセキュリティの コンプライアンスとフレームワーク カテゴリに属します。
STRIDE モデル とはどういう意味ですか?
ソフトウェアの脅威を Spoofing、Tampering、Repudiation、Information Disclosure、Denial of Service、Elevation of Privilege に分類する、Microsoft 由来の脅威分類フレームワーク。
STRIDE モデル からどのように防御しますか?
STRIDE モデル に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
STRIDE モデル の別名は何ですか?
一般的な別名: STRIDE 脅威モデル。