Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
脅威モデリングによるシフトレフト活動
Search
Aja9tochin
August 02, 2025
Technology
49
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
脅威モデリングによるシフトレフト活動
Aja9tochin
August 02, 2025
More Decks by Aja9tochin
See All by Aja9tochin
ドメイン駆動セキュリティへの道しるべ
pandayumi
1
270
コマンドとリード間の連携に対する脅威分析フレームワーク
pandayumi
1
600
3分でわかる脅威モデリングの超概要
pandayumi
1
150
コレオグラフィ型サーガでのデータモデルの持ち方
pandayumi
0
58
5分でカオスエンジニアリングを分かった気になろう
pandayumi
0
660
DDD集約とサービスコンテキスト境界との関係性
pandayumi
3
500
業務改善原則を使った企画の重要性
pandayumi
0
59
セキュリティ視点以外の重要な脅威分析
pandayumi
0
47
ビジネスアーキテクチャにおける脅威分析
pandayumi
0
40
Other Decks in Technology
See All in Technology
Fabricをフル活用する AI Agent Hub -製造業特化AIエージェントの設計
iotcomjpadmin
0
180
背中から、背中へ /paying forward to community
naitosatoshi
0
190
CVE-2026-20833_脆弱性対応とAES 化について
jukishiya
0
300
toB プロダクトから見たWAF
tokai235
0
270
Oracle Exadata Database Service on Cloud@Customer X11M (ExaDB-C@C) サービス概要
oracle4engineer
PRO
2
8.3k
サイバーエージェントにおけるAI推進戦略と変革への取り組み
shotatsuge
0
640
Microsoft のサポートとフィードバック総まとめ
murachiakira
PRO
0
130
次世代ランサムウェア対策の考察 / 20260704 Mitsutoshi Matsuo
shift_evolve
PRO
5
1.4k
From Prompt Engineering to Loop Engineering
shibuiwilliam
1
310
本当の”仕事”を手放せる未来が見えた
mu7889yoon
0
210
LiDAR SLAMの実装とセンサ融合 ~Lie群からContinuous-Time LIOまで~
naokiakai
1
660
5分でわかるDuckDB Quack
chanyou0311
4
280
Featured
See All Featured
HU Berlin: Industrial-Strength Natural Language Processing with spaCy and Prodigy
inesmontani
PRO
0
420
How to Build an AI Search Optimization Roadmap - Criteria and Steps to Take #SEOIRL
aleyda
1
2.1k
DevOps and Value Stream Thinking: Enabling flow, efficiency and business value
helenjbeal
1
250
[SF Ruby Conf 2025] Rails X
palkan
2
1.1k
Build your cross-platform service in a week with App Engine
jlugia
234
18k
A brief & incomplete history of UX Design for the World Wide Web: 1989–2019
jct
2
400
Building Flexible Design Systems
yeseniaperezcruz
330
40k
Visual Storytelling: How to be a Superhuman Communicator
reverentgeek
2
570
WENDY [Excerpt]
tessaabrams
11
38k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
49
10k
Conquering PDFs: document understanding beyond plain text
inesmontani
PRO
4
2.9k
Have SEOs Ruined the Internet? - User Awareness of SEO in 2025
akashhashmi
0
380
Transcript
脅威モデリングによる シフトレフト活動 最近噂の 某(株)ゆめ〇 兼 脅威モデリング東京運営メンバー 工藤 ユミ
あたり前品質は、脅威モデリング によって浸透する。 DDD×脅威モデリングを体現せよ。 根底は、モデル駆動の思想です。 今日の大主張です
さらっと自己紹介 遍歴: 得意分野:抽象化、アナロジー、モデル駆動、推論 趣味:モデリング、アナロジー、推論で結果予測と振り返り、パンダとメタル 職位:PdM、ビジネスアーキテクト 保有資格:UMLモデリング技能L1&2、Java言語のなんか 所属コミュニティ:DAMAデータ分科会、脅威モデリング東京(運営) 2025/8/2
特に学習すべき人は誰か? プロダクトコードを書く、開発者 障害対応する人 アーキテクト マーケティング担当 PdM 経営者、事業責任者 QAさん、、、、 ようは、全員に共通して求められるようになります。 なぜなら!
あらゆる仕組みづくりは、リスクマネジメントだから。 2025/8/2
脅威モデリングで何が嬉しいのか? 要件や設計などの初期工程で、セキュリティリスクの議論ができる 脆弱性診断は、モノができてからでないとだが、実装前に議論できる&どのフェーズからでもできる 実際に使ってみると、ドメイン駆動やRDRAとの相性がバチくそ⿁めちゃくちゃいい 思想を抽象化したら、他の様々な非機能(品質特性とあえていいます)で応用できる 他にも嬉しいことは多々ありますが、本日は省略します。 余談: 分散システムで失敗してるとこでは、まずどこもかしこもこれを基本やっていない。 優秀な方は、頭の中で無意識にやってしまってる。 2025/8/2
脅威モデリングの手順(反復が前提) ① 何(リソース、情報資産)を守りたいのか?という文脈範囲の認識合わせを行う ② STRIDEフレームワークで、脅威(利害関係者の心配事)の洗い出しを行う ③ アタックツリーという攻撃者目線の論理ツリーを考える(ここですぐスコアリングできるなら、③飛ばして④へ) ④ ③をもとに、DREADの5観点でスコアリングし、対処すべきリスクを洗い出す ⑤
④で出したリスクへの軽減策を考える(コスト感込みで) ⑥ ⑤の軽減策実行後に、④のリスクポイントがどのくらい低下したか?を机上で見る ⑦ あとは、実装後の脆弱性診断結果などをもとに、再度①~継続的反復してに行う。 大体、ドメインモデリングと同じような感じ~ 2025/8/2
どこで学べるの? 興味わいたけど、どこで学べるの~? 体験できるの? 本なら⇒です。 でも限界があります。 そんなあなたへおすすめのイベントが今月あります。 2025/8/2
これに来れば良き( ̄▽ ̄) 6/19 こっちは発表形式(私発表するで) 6/30 こっちはワークショップ形式(増席予定) 2025/8/2
ありがとー 勉強会の仲間募集してるよ! 議論中心、予習必須。 だいぶヘヴィだけどね 草超えて森 2025/8/2