Upgrade to Pro — share decks privately, control downloads, hide ads and more …

脅威モデリングをやってみた

Sponsored · SiteGround - Reliable hosting with speed, security, and support you can count on.
Avatar for Takahiro Tanaka Takahiro Tanaka
January 24, 2025
Technology
260
0

 脅威モデリングをやってみた

Avatar for Takahiro Tanaka

Takahiro Tanaka

January 24, 2025

More Decks by Takahiro Tanaka

See All by Takahiro Tanaka
Amazon Verified PermissionsのWorkshopをやってみた
Avatar for Takahiro Tanaka ledsue
0
250
マネージドサービスで作る認証機能
Avatar for Takahiro Tanaka ledsue
0
200

Other Decks in Technology

See All in Technology
スキルと MCP ツール、責務をどう分けるか? AI が迷わないインターフェース設計の戦略
Avatar for CData Software Japan cdataj
1
880
AGENTS.mdとSkillsで始めるAIエージェント活用
Avatar for そのだ sonoda_mj
2
170
2026TECHFRESH畢業分享會 - Lightning Talk - 資料也要 CI/CD? 用 Airbyte 自動化資料同步
Avatar for LINE Developers Taiwan line_developers_tw
PRO
0
600
新規事業を牽引する技術選定 〜フルスタックTypeScript開発の実践事例〜
Avatar for Katsuma Narisawa nullnull
3
380
SIer20年! 培ったスキルがスタートアップで輝く時
Avatar for しゅういちろ shucho0103
0
810
フロンティアAIのゲート化と地政学リスク
Avatar for 長津孝輔 nagatsu
0
110
Socrates × Looker 〜セマンティックレイヤーで進化するデータ分析エージェント〜
Avatar for Uchide Hiroki(ucchi-) hanon52_
3
1.9k
Databricks における 生成AIガバナンスの実践
Avatar for Takaaki Yayoi taka_aki
1
370
自律型AIエージェントは何を破壊するのか
Avatar for kojira kojira
0
140
非定型業務をAI slackbotで自動化する ~ 社内要望を自動壁打ちするbotを作った ~/automating-ad-hoc-work-with-ai-slackbot
Avatar for shibayu36 shibayu36
0
560
AI駆動開発が変える、大規模開発の前提 ーHuman in the Loop から Human on the Loop へ / AIE2026
Avatar for Visional Engineering & Design visional_engineering_and_design
30
23k
Agentic Web
Avatar for dynamis dynamis
1
200

Featured

See All Featured
How Software Deployment tools have changed in the past 20 years
Avatar for Geshan Manandhar geshan
0
34k
Keith and Marios Guide to Fast Websites
Avatar for Keith Pitt keithpitt
413
23k
30 Presentation Tips
Avatar for Ian Lurie portentint
PRO
1
320
Organizational Design Perspectives: An Ontology of Organizational Design Elements
Avatar for Dr. Kim W Petersen kimpetersen
PRO
1
720
Test your architecture with Archunit
Avatar for Yoan thirion
1
2.3k
Design of three-dimensional binary manipulators for pick-and-place task avoiding obstacles (IECON2024)
Avatar for konakalab konakalab
0
450
How To Speak Unicorn (iThemes Webinar)
Avatar for Michelle Schulp Hunt marktimemedia
1
480
Jamie Indigo - Trashchat’s Guide to Black Boxes: Technical SEO Tactics for LLMs
Avatar for Tech SEO Connect techseoconnect
PRO
0
160
Into the Great Unknown - MozCon
Avatar for Noah Learner thekraken
41
2.6k
Reflections from 52 weeks, 52 projects
Avatar for Jefferson Lam jeffersonlam
356
21k
Lightning Talk: Beautiful Slides for Beginners
Avatar for Ines Montani inesmontani
PRO
2
570
A better future with KSS
Avatar for Kyle Neath kneath
240
18k

Transcript

  1. OWASP Nagoya 脅威モデリングをやってみた話 2025年1月24日

  2. 自己紹介  名前:田中 隆博(すえぞう)  えっくす:@led_suezou  Note:https://note.com/ledsue  仕事:ユーザ系IT子会社にてインフラ構築、運用を担当

     安全確保支援士(未登録)

  3. はじめに  お話すること  STRIDEを使って脅威モデリングをしてみた話  お話しないこと  モデリングのベースになるDFDの知識 

    今日のゴール  脅威モデリング実践の雰囲気をつかんでもらう

  4. 脅威モデリングをやることになった経緯  担当することになったプロジェクトの企画段階で、セキュリティ的な課題の洗い出しのために実施。  基本的なアーキテクチャは維持するので、現在のシステム構成をベースにモデリングすることになった。

  5. 脅威モデリングって何?  「脅威モデリングって何?」と生成AIさん(Geminiさん)に聞いてみた  脅威モデリングとは、システムやアプリケーションに対して、どのような攻撃が行われる可能性が あるのかを事前に予測し、その対策を立てるための手法です。いわば、システムのセキュリティ診 断書を作成するようなもので、開発の初期段階からセキュリティ意識を高めることに役立ちます。

  6. 脅威モデリングってどのように進めるの? 以下のような流れでモデリングしていきます。 1. システムの可視化 2. 脅威の特定 3. リスクの洗い出し 4. 対応策と優先順位の決定

  7. 脅威モデリングってどのように進めるの? 以下のような流れでモデリングしていきます。 1. システムの可視化 →データフローダイアグラム(DFD)を利用して、データの所在、処理、流れを可視化する 2. 脅威の特定 →作成したDFDを使ってどういった脅威が想定されるかを特定し一覧表を作る 3. リスクの洗い出し

    →洗い出しした脅威をもとにリスクの洗い出しを実施 4. 対応策と優先順位の決定 →攻撃の難易度や守るべき情報資産の重要度からリスクを評価し、対策の優先順位付け

  8. STRIDEって何?  STRIDEはマイクロソフト社によって開発された脅威モデリングの手法です。  脅威を特定しやすくするため、以下の6つの攻撃分類をベースにDFDの構成要素をチェック No. カテゴリ 説明 1. Spooling

    (なりすまし) 他のユーザーやシステムになりすまして、不正なアクセスを行う。 2. Tampering (改ざん) データやシステムの設定などを不正に改ざんする。 3. Repudiation (否認) ユーザが禁止されている操作を行っても、後から追跡できないようにする。 4. Information disclosure (情報漏洩) 許可されていないユーザに情報が漏えいする。 5. Denial of service (サービス妨害) システムやサービスを意図的に利用不能にする。 6. Elevation of privilege (権限昇格) 許可された権限を越えて、高い権限を取得する。

  9. 脅威モデリングのサンプル カテゴリ:なりすまし セッションをハイジャックされるこ とで、別のユーザでログインされる カテゴリ:改ざん、情報漏洩 SQLインジェクションによりデータ を改竄、データを接種される

  10. 脅威モデリングをしてみて  良かった点  データの流れやデータの保存場所について可視化され、ユーザに対して脅威の場所、内容を説明し やすくなる  STRIDEというフレームワークにより、脅威の洗い出しの足掛かりがあった  悪かった点

     網羅的に実施しようとすると分析対象となる要素が多く、かなり工数がかかる  攻撃手法などに対しての理解が必要で誰でもできるわけではない

  11. 脅威モデリングをサポートするツール  OWASP Threat Dragon  https://github.com/threatdragon  Microsoft Threat

    Modeling Tool  https://learn.microsoft.com/ja-jp/azure/security/develop/threat-modeling-tool-threats

  12. イベントの告知  脅威モデリングナイト#6 in Tokyo  2025年1月29日(水)18:30~  https://threatmodeling.connpass.com/event/340832/ 

    脅威モデリングないと#7 in Tokyo  2025年3月18日(火)18:30~  https://threatmodeling.connpass.com/event/341782/