アプリケーションセキュリティ
脅威モデリング
別称: アーキテクチャリスク分析
定義
資産・脅威・脆弱性・対策を体系的に分析し、セキュリティを後付けではなく設計段階から組み込むための構造化された手法。
脅威モデリングは、アーキテクト・開発者・セキュリティエンジニアが協働してシステムへの攻撃可能性を検討するエンジニアリング手法です。アプリケーションをデータフロー図・信頼境界・資産に分解し、STRIDE・PASTA・LINDDUN などのフレームワークで脅威を洗い出し、DREAD や CVSS によりリスクを評価して対策を優先順位付けします。SDLC の早い段階で実施することでシフトレフトを実現し、リリース後に脆弱性を修正するよりはるかに低コストで済みます。アーキテクチャ・依存関係・信頼境界が変わるたびに更新される「生きたモデル」として運用するのが一般的です。
例
- 新しい決済マイクロサービスを対象とした STRIDE ワークショップで、内部 API 間の認証欠如が判明する。
- データフロー図のレビューで、署名検証されていない Webhook が信頼境界を越えていることが見つかる。
関連用語
STRIDE Model
STRIDE Model — definition coming soon.
DREAD Model
DREAD Model — definition coming soon.
セキュアソフトウェア開発ライフサイクル(SSDLC)
要件・設計・実装・テスト・リリース・運用といったソフトウェア開発の各フェーズにセキュリティ活動を組み込んだライフサイクル。
Abuse Case
Abuse Case — definition coming soon.
Misuse Case
Misuse Case — definition coming soon.
Security Requirements
Security Requirements — definition coming soon.