3分でわかる脅威モデリングの超概要

Transcript

1. 脅威モデリングによる シフトレフト活動 某(株)Y→１月より沖縄のデータコンサル企業 脅威モデリング東京運営メンバー DAMAコミュニティメンバー 工藤 ユミ

2. あたり前品質は、脅威モデリング によって組織に浸透する。 DDD×脅威モデリングを体現せよ。 根底は、モデル駆動の思想です。 今日の大主張です

3. 自己紹介 、、なんて悠⾧に意味はないので、 もちろん飛ばしマシュ。 不要プロセスを排除＝ECRSのE これぞアジャイル。 2025/11/15

4. さらっと自己紹介 遍歴: 得意分野:抽象化、アナロジー、モデル駆動、推論 趣味:モデリング、アナロジー、推論で結果予測と振り返り 職位:ビジネスアーキテクト、次はデータビジネスコンサル 所属コミュニティ:DAMAデータ分科会、脅威モデリング東京(運営) 2025/11/15

5. 脅威モデリングとは 図で表現されたシステムのモデルに対して、 STRIDEの観点(個人情報系はLINDDUN)という複数の観点でリスクの根拠となる脅威を出す手法。 S:なりすまし T:改ざん R:否認 I:情報漏洩 D:サービス拒否 E:権限昇格 2025/11/15

6. 脅威モデリングを 特に学習すべき立場はどのロールか？ プロダクトコードを書く、開発者＞＞DDDやってるのに、脅威モデリングやってないの誰や? アーキテクト＞＞分散化を検討している人は、特にやらないと後で恐らく４ぬ 分析データ基盤系のデータエンジニア 障害対応する人（SREなど） PdM 経営者、事業責任者 QAさん、、、、 ようは、全員に共通して求められるようになります。

   なぜなら! あらゆる仕組みづくりは、リスクマネジメントだから。 2025/11/15

7. 脅威モデリングで何が嬉しいのか？ 要件や設計などの早期工程で、セキュリティリスク(だけじゃないけど)の議論ができる(仮説にすぎないけど) 脆弱性診断は、モノができてからでないとだが、実装前に議論できる＆どのフェーズからでもできる 実際に使ってみると、ドメインモデリングやRDRA、ESとの相性がバチくそ⿁めちゃくちゃいい 思想を抽象化したら、他の様々な非機能(品質特性とあえていいます)で応用できる 余談: 分散システムで失敗してるとこでは、まずどこもかしこもこれを基本やっていない。 優秀な方は、頭の中で無意識にやってしまってる。 2025/11/15

8. 脅威モデリングの手順(DDDと同様に 反復がもちろん前提) 脅威モデリングするには、ドメインモデルやコンテキストマップがあるのが大前提。 ① 何(リソース、情報資産)を特に守りたいのか?という文脈範囲の認識合わせを行う ② STRIDEフレームワークで、脅威(利害関係者の心配事)の洗い出しを行う ③ アタックツリーという攻撃者目線の論理ツリーを考える(ここですぐスコアリングできるなら、③飛ばして④へ) ④

   ③をもとに、DREADの5観点でスコアリングし、優先的に対処すべきリスクを洗い出す ⑤ どこまでリスクポイントを下げるのか?それを満たす軽減策を考える（例:セキュリティライブラリ） ⑥ 先にCI/CDにセキュリティチェックの適応度関数として盛り込む。(後続で設計仮説を定量的に検証できるように) ⑦ パイプラインが通るように、プロダクションの方のアーキテクチャを実装。 ⑧ 軽減策実行後に、⑤のリスクポイントが実際どのくらい低下したか?を振り返る。（ここでセキュリティ設計の仮説を検証） ⑨ あとは、実装後の脆弱性診断結果や運用ログなどをもとに、再度①～継続的反復してに行う。 2025/11/15

9. どこで学べるの？ 興味わいたけど、どこで学べるの～? 体験できるの? 本なら⇒右の２冊です。 でも限界があります。 そんなあなたへおすすめのイベントが 2025/11/15

10. これに来れば良き(￣▽￣) 6/19 こっちは発表形式(私発表するで) 6/30 こっちはワークショップ形式(増席予定) 2025/11/15

11. ありがと 勉強会の仲間募集してるよ! 議論中心、予習必須。 だいぶヘヴィだけどねWWW 2025/11/15