脅威モデリング、体験と学び（脅威モデリングナイト#2）

Transcript

1. 2024/07/11 脅威モデリングナイト#2 脅威モデリング、体験と学び

2. Introduce & First Threat Modeling 渡辺 洋司 ( X :

   @aqeuefem ) サイバーセキュリティクラウド CTO 2024/05の RSA Conference にて、脅威モデリングのワー クショップに参加し、脅威モデリングデビュー。 講師はマニフェスト作成メンバーの一人、Chris Romeo でし た。 前提となるシステムを元にした DFD を対象に、チームに分 かれて脅威分析と緩和策についてディスカッションを行う形 式でした。 参加レポート： https://qiita.com/yoji-csc/items/578dfcd9ab073d90e575

3. Threat Modeling を体験して • 座学において ◦ STRIDE-LM（Lateral Movement）の脅威分析を知ることができた ◦ https://csf.tools/reference/stride-lm/

   • エキスパートから初心者までが参加できる • 具体的な技術で会話するべきか、概念的にすべきかという点で参加者の会話をう まくコントロールする必要がありそう ◦ 参加者はエンジニア同士だったので比較的容易だった • 脅威とするかしないかについての個人の解釈が異なるため、声が大きい人の意 見に左右される場面があった • セキュリティ技術にフォーカスされすぎないため、多くの人のセキュリティ意識を向 上する取り組みとして良いと感じた。 ということで、脅威モデリングに関する学習を始めました

4. THREAT MODELING MANIFESTO Our intention for the Threat Modeling Manifesto

   is to share a distilled version of our collective threat modeling knowledge in a way that should inform, educate, and inspire other practitioners to adopt threat modeling as well as improve security and privacy during development. 脅威モデリング・マニフェストに対する我々の意図は、脅威モデリングに関する我々の 知識を抽出したものを共有すること であり、他の実務者に脅威モデリングを採用するよ う情報を提供し、教育し、鼓舞し、開発中のセキュリティとプライバシーを向上させるこ とである。 脅威モデリングに関する専門家たちによる知見の共有！ 脅威モデリングとは何か、どうあるべきか、どうあるべきでないかを表明 https://www.threatmodelingmanifesto.org/

5. What is threat modeling? 引用：Shostack, Adam. Threat Modeling: Designing For

   Security. John Wiley & Sons, 2014.

6. Adam Shostack's 4 Question Frame for Threat Modeling 引用：Shostack, Adam.

   Threat Modeling: Designing For Security. John Wiley & Sons, 2014. Good Pattern / Anti Pattern を意識する中で、最上位の視点を常に意識

7. Values 脅威モデリングで得られる価値 設計の問題を発見し修正するカルチャー A culture of finding and fixing design

   issues over checkbox compliance. 人々とコラボレーションをする People and collaboration over process, methodologies, and tools. 理解を深める旅 A journey of understanding over a security or privacy snapshot. 脅威モデリングしよう Doing threat modeling over talking about it. 継続的に改善しよう Continuous refinement over a single delivery.

8. Principles 脅威モデリング実施の原則 早期かつ頻繁な分析 The best use of threat modeling is

   to improve the security and privacy of a system through early and frequent analysis. 開発プロセスに取り込み、管理可能な範囲でシステムの設計に追従する Threat modeling must align with an organization’s development practices and follow design changes in iterations that are each scoped to manageable portions of the system. 利害関係者に価値があるものが成果となる The outcomes of threat modeling are meaningful when they are of value to stakeholders. 対話が理解を深め、記録と測定のためにドキュメントを活用する Dialog is key to establishing the common understandings that lead to value, while documents record those understandings, and enable measurement.

9. Patterns benefit threat modeling: 体系的なアプローチ Systematic Approach Achieve thoroughness and

   reproducibility by applying security and privacy knowledge in a structured manner. ツールの利用や標準の利用は Useful Toolkit や Theory into Practice で表現されている。 脅威モデリングの活動を行う上での体系的な指標とはなんだろうか？？

10. Patterns benefit threat modeling: 情報を元にした創造性 Informed Creativity Allow for creativity

    by including both craft and science. 根拠を持ったアプローチや芸術的なアプローチなどを組み合わせて、手元にある情報を適切に 扱いつつも、創造性を発揮する。 どういう脅威があり、それがどういうリスクになるかは過去事例や自社事業を理解し、さらに想 像力を持つことが大切。

11. Patterns benefit threat modeling: 多様な視点 Varied Viewpoints Assemble a diverse

    team with appropriate subject matter experts and cross-functional collaboration. 経営者、ビジネス担当者、アプリケーション開発者、システム運用者 など、ビジネスやシステム に関わる人たちを巻き込み対象の脅威とその緩和方法を多様な視点で取り扱うことが大切！ 「うちの顧客の個人情報はクラウド上のアプリケーションのデータベースに入っているが対策は 大丈夫なのか？」

12. Patterns benefit threat modeling: 便利なツールの利用 Useful Toolkit Support your approach

    with tools that allow you to increase your productivity, enhance your workflows, enable repeatability and provide measurability. STRIDE や PASTA, MITREATT&CK など脅威分析のフレームワーク、モデリングツール、モデ リングテンプレートを利用することで、モデリングの生産性、再現性、計測性を高めよう！

13. Patterns benefit threat modeling: 理論を実践へ Theory into Practice Use successfully

    field-tested techniques aligned to local needs, and that are informed by the latest thinking on the benefits and limits of those techniques. これまで実績のあるテクニックや、業界固有のニーズなどを結びつけてモデリングを実施する。 NIST CSF や PCIDSS などのようにサイバーセキュリティフレームワークや、業界標準のコンプ ライアンスを取り入れましょう。

14. Anti-patterns inhibit threat modeling: 脅威モデラーヒーロー Hero Threat Modeler Threat modeling

    does not depend on one’s innate ability or unique mindset; everyone can and should do it. セキュリティ、プライバシー、技術に詳しい人が声が大きくなりがちだが、参加者全員で取り組も う！

15. Anti-patterns inhibit threat modeling: 問題に対する賞賛 Admiration for the Problem Go

    beyond just analyzing the problem; reach for practical and relevant solutions. 問題点を見つけることは良いことですが、それよりも 現実的で適切な対策を見つけることを賞賛 しましょう！

16. Anti-patterns inhibit threat modeling: 過剰な集中の傾向 Tendency of Overfocus Do not

    lose sight of the big picture, as parts of a model may be interdependent. Avoid exaggerating attention on adversaries, assets, or techniques. 攻撃者、攻撃手法、具体的すぎるアセットに注目しすぎず、大きな観点でのモデリングを実施す べき。細かいところにフォーカスしすぎると、 Hero Threat Modeler を生み出してまう！

17. Anti-patterns inhibit threat modeling: 完全な表現 Perfect Representation It is better

    to create multiple threat modeling representations because there is no single ideal view, and additional representations may illuminate different problems. １つの脅威モデルで全ての脅威と緩和策を洗い出すことは難しい。 複数の観点（抽象度、ロール）でのモデルを構築すべき！（厳しい！！）

18. 脅威モデリングを体系的に実施するとは？ ‼

19. THREAT MODELING CAPABILITIES A capability delineates what an organization does.

    Capabilities do not attempt to explain how, why, or where they are used.Where you start the threat modeling process depends on your organization. Note that implementing capabilities is typically not a linear process. Some capabilities are easier for some organizations to implement, while others are harder. Start by understanding your circumstances, biggest problems, and best and most cost effective opportunities.This document serves as a catalog of capabilities; use them as Lego pieces to help you build a threat modeling program. Although these capabilities are very simple, the more of them you implement, the better your program becomes. 組織が何をするかを定義します 。脅威モデリングプロセスをどこから開始するかは、組 織によって異なります。一部の機能は、組織によって実装が容易ですが、他の機能は実 装が困難です。まず、状況、最大の問題、および最も費用対効果の高い最適な機会 を 理解することから始めます。 https://www.threatmodelingmanifesto.org/capabilities/

20. 組織が脅威モデリングを実施する際の実践方法を提示するもので、以下の７つの Capability が定義されています。 Strategy Educate Creating Threat Modeling Acting on

    Threat Models Communications Measurement Program Management THREAT MODELING CAPABILITIES

21. Strategy：戦略 脅威モデリングは、「Hero Threat Modeler」のアンチパターンにしないよう、組織全体で実 践すべきです。戦略では、脅威モデリングの重要性を優先し、強調する必要があります。 Education：教育 脅威モデリングを実行する方法を学ぶ必要があります。「A journey of understanding

    over a security or privacy snapshot.」で、学習によって脅威モデリングの参加者に継続 的なサポートを提供します。 Creating Threat Models：脅威モデルの作成 理想的には、脅威モデリングはアイデアが形になる最初の段階で行われますが、システム のライフサイクルのどの時点でも行われる可能性があります。脅威モデルの作成プロセス は、組織に応じて効果的です。 Acting on Threat Models：脅威モデルを元にした行動 脅威モデルが完成したら、脅威モデル プロセスをフォローアップして、発見された結果に対 処します。 脅威モデルが完成したら、脅威モデル プロセスをフォローアップして、発見された結果に対 処します。

22. Communications：コミュニケーション 脅威モデリングの要件、進捗、測定、影響は、利害関係者と意思決定者に共有するこ とで、脅威モデリング担当者の間で生産的な議論が行われます。 Measurement：計測 脅威モデリングが効果的で組織の目的を満たしているかどうかを判断するのに役立 ちます。指標の例としては、アクティビティの実行に必要な労力や、セキュリティとプラ イバシーの姿勢の変更などが挙げられます。 Program Management：プログラム管理 組織はセキュリティとプライバシーの完璧さを目指すべきではありません。「妥当」で

    あることが目標です。プログラムは組織の目的を満たし、セキュリティとプライバシー の姿勢に影響を与える必要があります。これらの機能は、組織内でのプログラムの定 義と管理に重点を置いています。

23. おわりに • 脅威モデリングは組織のセキュリティ意識を向上できる強力なツール • 組織でまずは一度脅威モデリングをやってみるべし ◦ Doing threat modeling over

    talking about it. • 教育や継続的な実施など、組織に根付かせるには大きな課題がある 一緒に継続的に学びつつ、組織に根付かせるための活動についてお話しさせてくださ い。