Upgrade to Pro — share decks privately, control downloads, hide ads and more …

脅威モデリングをやってみた

Takahiro Tanaka
January 24, 2025
Technology
0
100

 脅威モデリングをやってみた

Takahiro Tanaka

January 24, 2025
Tweet

More Decks by Takahiro Tanaka

See All by Takahiro Tanaka
Amazon Verified PermissionsのWorkshopをやってみた
ledsue
0
210
マネージドサービスで作る認証機能
ledsue
0
140

Other Decks in Technology

See All in Technology
ObservabilityCON on the Road Tokyoの見どころ
hamadakoji
0
150
[SRE kaigi 2025] ガバメントクラウドに向けた開発と変化するSRE組織のあり方 / Development for Government Cloud and the Evolving Role of SRE Teams
kazeburo
4
1.7k
教師なし学習の基礎
kanojikajino
4
330
企業テックブログにおける執筆ネタの考え方・見つけ方・広げ方 / How to Think of, Find, and Expand Writing Topics for Corporate Tech Blogs
honyanya
0
730
Japan AWS Jr. Championsがお届けするre:Invent2024のハイライト ~ラスベガスで見てきた景色~
fukuchiiinu
0
1.1k
クロスアカウントな RDS Snapshot Export による カジュアルなデータ集約の仕組み / 202501-finatext-technight-lt
wa6sn
1
130
“自分”を大切に、フラットに。キャリアチェンジしてからの一年 三ヶ月で見えたもの。
maimyyym
0
240
さいきょうのアーキテクチャを生み出すセンスメイキング
jgeem
0
130
バクラクの組織とアーキテクチャ(要約)2025/01版
shkomine
8
1.6k
ドメイン駆動設計によるdodaダイレクトのリビルド実践 / Rebuild practice of doda direct with domain-driven design
techtekt
0
500
プロダクト開発、インフラ、コーポレート、そしてAIとの共通言語としての Terraform / Terraform as a Common Language for Product Development, Infrastructure, Corporate Engineering, and AI
yuyatakeyama
6
1.5k
srekaigi2025-hajimete-ippo-aws
masakichieng
0
210

Featured

See All Featured
Typedesign – Prime Four
hannesfritz
40
2.5k
Fireside Chat
paigeccino
34
3.2k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
232
17k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
29
2.4k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
20
2.4k
Fantastic passwords and where to find them - at NoRuKo
philnash
50
3k
Principles of Awesome APIs and How to Build Them.
keavy
126
17k
Visualization
eitanlees
146
15k
Become a Pro
speakerdeck
PRO
26
5.1k
Writing Fast Ruby
sferik
628
61k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
28
9.2k
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
29
980

Transcript

  1. OWASP Nagoya 脅威モデリングをやってみた話 2025年1月24日

  2. 自己紹介  名前:田中 隆博(すえぞう)  えっくす:@led_suezou  Note:https://note.com/ledsue  仕事:ユーザ系IT子会社にてインフラ構築、運用を担当

     安全確保支援士(未登録)

  3. はじめに  お話すること  STRIDEを使って脅威モデリングをしてみた話  お話しないこと  モデリングのベースになるDFDの知識 

    今日のゴール  脅威モデリング実践の雰囲気をつかんでもらう

  4. 脅威モデリングをやることになった経緯  担当することになったプロジェクトの企画段階で、セキュリティ的な課題の洗い出しのために実施。  基本的なアーキテクチャは維持するので、現在のシステム構成をベースにモデリングすることになった。

  5. 脅威モデリングって何?  「脅威モデリングって何?」と生成AIさん(Geminiさん)に聞いてみた  脅威モデリングとは、システムやアプリケーションに対して、どのような攻撃が行われる可能性が あるのかを事前に予測し、その対策を立てるための手法です。いわば、システムのセキュリティ診 断書を作成するようなもので、開発の初期段階からセキュリティ意識を高めることに役立ちます。

  6. 脅威モデリングってどのように進めるの? 以下のような流れでモデリングしていきます。 1. システムの可視化 2. 脅威の特定 3. リスクの洗い出し 4. 対応策と優先順位の決定

  7. 脅威モデリングってどのように進めるの? 以下のような流れでモデリングしていきます。 1. システムの可視化 →データフローダイアグラム(DFD)を利用して、データの所在、処理、流れを可視化する 2. 脅威の特定 →作成したDFDを使ってどういった脅威が想定されるかを特定し一覧表を作る 3. リスクの洗い出し

    →洗い出しした脅威をもとにリスクの洗い出しを実施 4. 対応策と優先順位の決定 →攻撃の難易度や守るべき情報資産の重要度からリスクを評価し、対策の優先順位付け

  8. STRIDEって何?  STRIDEはマイクロソフト社によって開発された脅威モデリングの手法です。  脅威を特定しやすくするため、以下の6つの攻撃分類をベースにDFDの構成要素をチェック No. カテゴリ 説明 1. Spooling

    (なりすまし) 他のユーザーやシステムになりすまして、不正なアクセスを行う。 2. Tampering (改ざん) データやシステムの設定などを不正に改ざんする。 3. Repudiation (否認) ユーザが禁止されている操作を行っても、後から追跡できないようにする。 4. Information disclosure (情報漏洩) 許可されていないユーザに情報が漏えいする。 5. Denial of service (サービス妨害) システムやサービスを意図的に利用不能にする。 6. Elevation of privilege (権限昇格) 許可された権限を越えて、高い権限を取得する。

  9. 脅威モデリングのサンプル カテゴリ:なりすまし セッションをハイジャックされるこ とで、別のユーザでログインされる カテゴリ:改ざん、情報漏洩 SQLインジェクションによりデータ を改竄、データを接種される

  10. 脅威モデリングをしてみて  良かった点  データの流れやデータの保存場所について可視化され、ユーザに対して脅威の場所、内容を説明し やすくなる  STRIDEというフレームワークにより、脅威の洗い出しの足掛かりがあった  悪かった点

     網羅的に実施しようとすると分析対象となる要素が多く、かなり工数がかかる  攻撃手法などに対しての理解が必要で誰でもできるわけではない

  11. 脅威モデリングをサポートするツール  OWASP Threat Dragon  https://github.com/threatdragon  Microsoft Threat

    Modeling Tool  https://learn.microsoft.com/ja-jp/azure/security/develop/threat-modeling-tool-threats

  12. イベントの告知  脅威モデリングナイト#6 in Tokyo  2025年1月29日(水)18:30~  https://threatmodeling.connpass.com/event/340832/ 

    脅威モデリングないと#7 in Tokyo  2025年3月18日(火)18:30~  https://threatmodeling.connpass.com/event/341782/