Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
脅威モデリングによるシフトレフト活動
Search
Aja9tochin
August 02, 2025
Technology
0
8
脅威モデリングによるシフトレフト活動
Aja9tochin
August 02, 2025
Tweet
Share
More Decks by Aja9tochin
See All by Aja9tochin
コレオグラフィ型サーガでのデータモデルの持ち方
pandayumi
0
13
5分でカオスエンジニアリングを分かった気になろう
pandayumi
0
360
DDD集約とサービスコンテキスト境界との関係性
pandayumi
3
340
業務改善原則を使った企画の重要性
pandayumi
0
29
セキュリティ視点以外の重要な脅威分析
pandayumi
0
14
ビジネスアーキテクチャにおける脅威分析
pandayumi
0
11
既存の脅威モデリング実施における新たな脅威とその対策に必要な思考
pandayumi
0
7
ADR運用におけるデータ利活用の考え方
pandayumi
0
380
Other Decks in Technology
See All in Technology
頭部ふわふわ浄酔器
uyupun
0
110
Oracle Database@Google Cloud:サービス概要のご紹介
oracle4engineer
PRO
0
370
20251029_Cursor Meetup Tokyo #02_MK_「あなたのAI、私のシェル」 - プロンプトインジェクションによるエージェントのハイジャック
mk0721
PRO
0
330
SRE × マネジメントレイヤーが挑戦した組織・会社のオブザーバビリティ改革 ― ビジネス価値と信頼性を両立するリアルな挑戦
coconala_engineer
0
270
マルチエージェントのチームビルディング_2025-10-25
shinoyamada
0
190
可観測性は開発環境から、開発環境にもオブザーバビリティ導入のススメ
layerx
PRO
2
1k
Behind Postgres 18: The People, the Code, & the Invisible Work | Claire Giordano | PGConfEU 2025
clairegiordano
0
140
スタートアップの現場で実践しているテストマネジメント #jasst_kyushu
makky_tyuyan
0
140
webpack依存からの脱却!快適フロントエンド開発をViteで実現する #vuefes
bengo4com
4
3.5k
AWS DMS で SQL Server を移行してみた/aws-dms-sql-server-migration
emiki
0
250
だいたい分かった気になる 『SREの知識地図』 / introduction-to-sre-knowledge-map-book
katsuhisa91
PRO
3
1.4k
AIエージェントによる業務効率化への飽くなき挑戦-AWS上の実開発事例から学んだ効果、現実そしてギャップ-
nasuvitz
5
1.3k
Featured
See All Featured
Code Reviewing Like a Champion
maltzj
526
40k
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
10
890
YesSQL, Process and Tooling at Scale
rocio
173
15k
Measuring & Analyzing Core Web Vitals
bluesmoon
9
640
Building Better People: How to give real-time feedback that sticks.
wjessup
369
20k
RailsConf 2023
tenderlove
30
1.3k
Put a Button on it: Removing Barriers to Going Fast.
kastner
60
4k
Learning to Love Humans: Emotional Interface Design
aarron
274
41k
Building a Modern Day E-commerce SEO Strategy
aleyda
44
7.8k
Imperfection Machines: The Place of Print at Facebook
scottboms
269
13k
Thoughts on Productivity
jonyablonski
70
4.9k
How to Think Like a Performance Engineer
csswizardry
27
2.1k
Transcript
脅威モデリングによる シフトレフト活動 最近噂の 某(株)ゆめ〇 兼 脅威モデリング東京運営メンバー 工藤 ユミ
あたり前品質は、脅威モデリング によって浸透する。 DDD×脅威モデリングを体現せよ。 根底は、モデル駆動の思想です。 今日の大主張です
さらっと自己紹介 遍歴: 得意分野:抽象化、アナロジー、モデル駆動、推論 趣味:モデリング、アナロジー、推論で結果予測と振り返り、パンダとメタル 職位:PdM、ビジネスアーキテクト 保有資格:UMLモデリング技能L1&2、Java言語のなんか 所属コミュニティ:DAMAデータ分科会、脅威モデリング東京(運営) 2025/8/2
特に学習すべき人は誰か? プロダクトコードを書く、開発者 障害対応する人 アーキテクト マーケティング担当 PdM 経営者、事業責任者 QAさん、、、、 ようは、全員に共通して求められるようになります。 なぜなら!
あらゆる仕組みづくりは、リスクマネジメントだから。 2025/8/2
脅威モデリングで何が嬉しいのか? 要件や設計などの初期工程で、セキュリティリスクの議論ができる 脆弱性診断は、モノができてからでないとだが、実装前に議論できる&どのフェーズからでもできる 実際に使ってみると、ドメイン駆動やRDRAとの相性がバチくそ⿁めちゃくちゃいい 思想を抽象化したら、他の様々な非機能(品質特性とあえていいます)で応用できる 他にも嬉しいことは多々ありますが、本日は省略します。 余談: 分散システムで失敗してるとこでは、まずどこもかしこもこれを基本やっていない。 優秀な方は、頭の中で無意識にやってしまってる。 2025/8/2
脅威モデリングの手順(反復が前提) ① 何(リソース、情報資産)を守りたいのか?という文脈範囲の認識合わせを行う ② STRIDEフレームワークで、脅威(利害関係者の心配事)の洗い出しを行う ③ アタックツリーという攻撃者目線の論理ツリーを考える(ここですぐスコアリングできるなら、③飛ばして④へ) ④ ③をもとに、DREADの5観点でスコアリングし、対処すべきリスクを洗い出す ⑤
④で出したリスクへの軽減策を考える(コスト感込みで) ⑥ ⑤の軽減策実行後に、④のリスクポイントがどのくらい低下したか?を机上で見る ⑦ あとは、実装後の脆弱性診断結果などをもとに、再度①~継続的反復してに行う。 大体、ドメインモデリングと同じような感じ~ 2025/8/2
どこで学べるの? 興味わいたけど、どこで学べるの~? 体験できるの? 本なら⇒です。 でも限界があります。 そんなあなたへおすすめのイベントが今月あります。 2025/8/2
これに来れば良き( ̄▽ ̄) 6/19 こっちは発表形式(私発表するで) 6/30 こっちはワークショップ形式(増席予定) 2025/8/2
ありがとー 勉強会の仲間募集してるよ! 議論中心、予習必須。 だいぶヘヴィだけどね 草超えて森 2025/8/2