脅威モデリング

Q: 脅威モデリング とは何ですか?

資産・脅威・脆弱性・対策を体系的に分析し、セキュリティを後付けではなく設計段階から組み込むための構造化された手法。 サイバーセキュリティの アプリケーションセキュリティ カテゴリに属します。

Q: 脅威モデリング からどのように防御しますか?

脅威モデリング に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

監修Florian AmetteCybersecurity entrepreneur & security researcher

脅威モデリングとは何ですか?

脅威モデリング資産・脅威・脆弱性・対策を体系的に分析し、セキュリティを後付けではなく設計段階から組み込むための構造化された手法。

脅威モデリングは、アーキテクト・開発者・セキュリティエンジニアが協働してシステムへの攻撃可能性を検討するエンジニアリング手法です。アプリケーションをデータフロー図・信頼境界・資産に分解し、STRIDE・PASTA・LINDDUN などのフレームワークで脅威を洗い出し、DREAD や CVSS によりリスクを評価して対策を優先順位付けします。SDLC の早い段階で実施することでシフトレフトを実現し、リリース後に脆弱性を修正するよりはるかに低コストで済みます。アーキテクチャ・依存関係・信頼境界が変わるたびに更新される「生きたモデル」として運用するのが一般的です。

● 例

01
新しい決済マイクロサービスを対象とした STRIDE ワークショップで、内部 API 間の認証欠如が判明する。
02
データフロー図のレビューで、署名検証されていない Webhook が信頼境界を越えていることが見つかる。

● よくある質問

脅威モデリングとは何ですか?

資産・脅威・脆弱性・対策を体系的に分析し、セキュリティを後付けではなく設計段階から組み込むための構造化された手法。サイバーセキュリティのアプリケーションセキュリティカテゴリに属します。

脅威モデリングとはどういう意味ですか?

資産・脅威・脆弱性・対策を体系的に分析し、セキュリティを後付けではなく設計段階から組み込むための構造化された手法。

脅威モデリングからどのように防御しますか?

脅威モデリングに対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

脅威モデリングの別名は何ですか?

一般的な別名: アーキテクチャリスク分析。

脅威モデリング

脅威モデリングとは何ですか?

● 例

● よくある質問

● 関連用語

● 関連項目

脅威モデリング とは何ですか?

● 例

● よくある質問

● 関連用語

● 関連項目

脅威モデリングとは何ですか?