Trike
Trike とは何ですか?
Trikeアクター、資産、許可された操作を中心に据えた、要件駆動かつリスクベースなアプローチをとるオープンソースの脅威モデリング手法。
Trike は 2005 年に公開され、その後の論文で洗練されたオープンソースの脅威モデリングフレームワークです。STRIDE のような攻撃者中心の手法と異なり、Trike は要件駆動型で、分析者は守る側の視点から、アクター・資産・想定される操作・それらを律するルールを Requirements Model としてまず構築し、そこから Implementation Model と Threat Model を導出します。脅威はこれらのルールに対するサービス拒否や権限昇格としての違反として列挙し、発生確率と影響で評価したうえでリスクマトリクスにまとめ、緩和策の優先順位付けに用います。Trike は、主に社内アプリケーションのアーキテクチャレビューやセキュリティ要件工学で使われ、規制環境でも採用されます。標準化機関ではなくコミュニティが維持しています。
● 例
- 01
アーキテクトが設計レビューで Trike を使い、アクター・操作・資産マトリクスから具体的なセキュリティ要件を導出する。
- 02
セキュリティチームが同じプロジェクトで Trike を要件モデリング、STRIDE を技術的な脅威列挙に組み合わせて使用する。
● よくある質問
Trike とは何ですか?
アクター、資産、許可された操作を中心に据えた、要件駆動かつリスクベースなアプローチをとるオープンソースの脅威モデリング手法。 サイバーセキュリティの コンプライアンスとフレームワーク カテゴリに属します。
Trike とはどういう意味ですか?
アクター、資産、許可された操作を中心に据えた、要件駆動かつリスクベースなアプローチをとるオープンソースの脅威モデリング手法。
Trike からどのように防御しますか?
Trike に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。