脅威モデリングワークショップ

Transcript

1. © 2025, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. 脅威モデリング Introduction - なにそれおいしいの︖ なかしま ともひろ アマゾン ウェブ サービス ジャパン 合同会社

2. © 2025, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. なかしま ともひろ アマゾン ウェブ サービス ジャパン合同会社 セキュリティ ソリューション アーキテクト 寿司・天麩羅職⼈⾒習い 釣り⼈⾒習い 2

3. © 2025, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. 脅威モデリングとは︖ 3

4. © 2025, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. 脅威モデリングとは 脅威モデリングは、構造的⽋陥※や適切な保護⼿段の⽋如などの潜在的な脅威を特 定して列挙し、対応策に優先順位を付けるプロセスです。 ※脆弱性、不具合など ( from wikipedia)

5. © 2025, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. チームで取り組む ビジネスペルソナ デベロッパーペルソナ アプリケーションセキュリティ SMEペルソナ 敵対的ペルソナ ディフェンダーペルソナ

6. © 2025, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. 脅威モデリングはデータフロー可視化からスタート 情報セキュリティは情報資産（データ）を安全に利活⽤するための⾮機能要件 だからこそ、データの流れ（フロー）の把握が必要⼗分なリスクの把握に繋がる 6 情報資産 脅威 脆弱性 最終的に明らかにしたいもの （＝リスク）

7. © 2025, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. 脅威モデリングに取り組むモチベーション 7 気づき、学び Q C D 品質、コスト、納期 uality ost elivery

8. © 2025, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. どこでどのように問題を識別、対処できますか︖ 計画 設計 ビルド テスト デプロイ 保守 脅威 モデリング コードレビュー 静的コード分析 （SAST) ダイナミック分 析（DAST) ペネトレーショ ンテスト パイプライン での⾃動セキ ュリティチェ ック 情報開⽰ バグバウンティ

9. © 2025, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. 不具合修正のコストと“シフトレフト“ 計画 設計 ビルド テスト デプロイ 保守 早いほうがよい︕ 改修コスト シフトレフト

10. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 先⼈の知恵にあやかろう/共通⾔語 10 Adam Shostack, 2014 © 2024, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 11 脅威モデリングの流れ / Shostackの4つの質問フレーム 私たちは何に 取り組んでい るのか︖ 何が問題にな り得るのか︖ 私たちはそれに対し て何をするべきか︖ それは⼗分に良い 仕事だったか︖ What are we working on? What can go wrong? What are we going to do about it? Did we do a good enough job? ワークロードの図式化 想定される脅威の洗い出し 想定される脅威への対応 対応の評価

11. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 先⼈の知恵にあやかろう/共通⾔語（続き） 脅威モデリングに活⽤できるフレームワークの例 11 名称 フォーカスポイント 概要 STRIDE ソフトウェア開発者 Microsoft社が開発した⽅法論で、セキュリティ上の脅威を特定するための記憶術。「Spoofing （なりすまし）、Tampering（改ざん）、Repudiation（否認）、Information disclosure（情報 漏えい）、Denial of service（サービス妨害）、Elevation of privilege（特権の昇格）」の頭⽂ 字。 DREAD 脅威のリスク評価 マイクロソフト社の別の⽅法論で、特定された脅威のリスク評価に使⽤。DREADは損害の可能性 (Damage potential)、再現性(Reproductivity)、悪⽤可能性(Exploitability)、影響を受けるユー ザー(Affected users)、発⾒可能性(Discoverability)。これらの要素はスコア付けされ、その結果 は特定された脅威の優先順位付けに使⽤されます。 PASTA 攻撃者視点 「Process for Attack Simulation and Threat Analysis（攻撃のシミュレーションと脅威分析の プロセス）」の略。PASTAは、脅威の特定、列挙、スコア付けを7段階のプロセスで⾏う。 Trike 受容リスク 資産の防御に焦点を当てたリスクベースの⽅法論。リスク管理の観点から始まり、その⽂脈で脅 威と脆弱性を考える。 VAST 脅威の視覚的表現 Visual（視覚的に）、Agile（柔軟に）、Simple（簡単に）Threat（脅威）（VAST）に対応する ⽅法論。アジャイル開発環境に統合されやすく、アクセスしやすいことを⽬指す。 OCTAVE 組織のリスク評価 オペレーショナルクリティカルな脅威資産と脆弱性の評価。特定の資産に基づく脅威プロファイ ルの構築、インフラストラクチャの脆弱性の特定、セキュリティ戦略と計画の策定の３フェーズ がある。

12. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 脅威モデリングをお楽しみください 12

13. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 脅威モデリングワークショップ - 脅威モデリングの実践 保⾥ 善太 アマゾン ウェブ サービス ジャパン 合同会社

14. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. タイムテーブル 14 時間 所要時間 内容 13:00-13:10 10分 はじめに (前説) 13:10-13:50 30分 脅威モデリングの説明 登場するAWSサービスの紹介 13:50-14:00 10分 ⾃⼰紹介タイム (サポートするAWSメンバー) 14:00-17:30 3時間30分 脅威モデリングワークショップ (適宜休憩) 17:30-17:50 30分 ワークショップまとめ 17:50-18:00 10分 Security-JAWSのから締めの挨拶

15. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 15 保⾥ 善太 (ほり ぜんた) • 所属 アマゾン ウェブ サービス ジャパン 合同会社 セキュリティ ソリューション アーキテクト • 趣味 札幌巡り、⽔泳 • 好きな AWS サービス Zenta Hori [email protected] @HoriZenta AWS WAF Amazon GuardDuty AWS Lambda

16. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 脅威モデリングの流れ

17. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 脅威モデリングの実際の流れ 私たちは何に 取り組んでい るのか︖ 何が問題にな り得るのか︖ 私たちはそれに対し て何をするべきか︖ それは⼗分に良い 仕事だったか︖ What are we working on? What can go wrong? What are we going to do about it? Did we do a good enough job? ワークロードの図式化 想定される脅威の洗い出し 想定される脅威への対応 対応の評価

18. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Step 1︓システムを理解する 私たちは何に 取り組んでい るのか︖ 何が問題にな り得るのか︖ 私たちはそれに対し て何をするべきか︖ それは⼗分に良い 仕事だったか︖ What are we working on? What can go wrong? What are we going to do about it? Did we do a good enough job? ワークロードの図式化 想定される脅威の洗い出し 想定される脅威への対応 対応の評価

19. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 必要な情報を集める システムを深く理解するため、ド キュメントを集めてレビューする • 役⽴つドキュメントの例︓ ・アーキテクチャ図 ・デザイン・設計書 ・データフロー図 ・API仕様 ・コード 全体的なアーキテクチャ図

20. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 必要な情報を揃える 20 API名 説明 ListVehicles 利⽤可能なすべての IoT コネクテッドカーの情報を返します。 RegisterVehicle 既存の IoT コネクテッドカーを登録し、サービスを開始させます。 DeregisterVehicle 既存の登録済み IoT コネクテッドカーの登録を解除し、サービスを停⽌しま す。 DescribeVehicle 特定の IoT コネクテッドカーの情報を返します。登録済みの場合は、⾞両登 録証への署名済み URL が含まれます。 ⾞両登録機能API仕様

21. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 例︓アーキテクチャを理解する 21 新規追加となるアーキテクチャ図 ⾞両登録機能のアーキテクチャ図 : ウェブブラウザが AWS Amplify、Amazon Cognito、Amazon API Gateway と通信を⾏いま す。 その際、Amazon API Gateway は ⾞両登録 の Lambda 関数と通信し、データを DynamoDB テーブルと S3 バケットに格納します。 1. Web BrowserはAWS Amplifyから Webアプリケーションを取得する 2. WebアプリケーションはAmazon Cognitoでユーザー認証を⾏い、その 結果として認証トークンを保持する 3. クライアントは、認証情報を使⽤し てAPI GatewayへAPIリクエストを 実⾏する 4. 既存の IoT ⾞両を登録する場合は、 RegisterVehicle を実⾏する。API 実⾏には、登録番号、有効期限、 PDF 形式の⾃動⾞登録証を⼊⼒値と して渡す。これによりサービスを開 始する。 処理の流れを確認する

22. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. データフロー図（DFD) を作成する 22 データストア 処理 外部 エンティティ データ フロー ヒューマンアクター データフロー図の要素

23. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. (例) 簡単なWebアプリケーション 23 ユーザー GitHub Pages AWS Cloud Amazon S3 Bucket Amazon CloudFront ブラウザ

24. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. スタティックウェブ アプリケーション (例) データフローと信頼境界（Zone of Trust) Amazon Clodfront ディストリビュー ション GitHub ページ AWS アカウントホスティング GitHub AWS アカウント ホスティングします S3 バケット ブラウザ A1 A2 A3 A4 B1 B2 A1 ̶ HTTPゲット A2 ̶ HTTP ゲット A3 ̶ スタティックアセット (HTML、CSS、JS) A4 ̶ スタティックアセット (HTML、CSS、JS) B1 ̶ HTTP 取得 B2 ̶ スタティックアセット (HTML、CSS、JS)

25. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Step 2︓脅威を洗い出す 私たちは何に 取り組んでい るのか︖ 何が問題にな り得るのか︖ 私たちはそれに対し て何をするべきか︖ それは⼗分に良い 仕事だったか︖ What are we working on? What can go wrong? What are we going to do about it? Did we do a good enough job? ワークロードの図式化 想定される脅威の洗い出し 想定される脅威への対応 対応の評価

26. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 分析⼿法とツール ⑤ サービス拒否 DoS ② 改ざん Tampering ① スプーフィング Spoofing ④ 情報漏洩 Information Disclosure ⑥ 権限の昇格 EoP ③ 否認 Repudiation STRIDE 機密性に影響を与える 信頼性に影響する 完全性に影響 を与える 可⽤性に 影響する 影響 否認防⽌ 影響 認可 1. Spoofing・スプーフィング：ID のなりすましでは、どのような 認証脅威が発生する可能性があるか 2. Tampering・改ざん：移動中か保管中かを問わず、データの改 ざんにつながるインテグリティの脅威にはどのようなものがある か 3. Repudiation・否認：発生する可能性のあるアクションを拒否す る原因となる監査上の脅威の種類（アクションを拒否したり、発 生したアクションを隠したりできる） 4. Information Disclosure・情報漏洩：どのような機密保持の脅威 が発生して情報開示につながる可能性があるか 5. Denial of Service・サービス拒否：どのような種類の可用性脅威 が発生してサービス拒否の脅威が発生する可能性があるか 6. Elevation of Privilege・権限の昇格：権限昇格ではどのような 権限の脅威が発生する可能性がありますか 脅威モデリングの分析⼿法として STRIDEがよく⽤いられる

27. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. STRIDEとデータフロー図の各コンポーネント サービス拒否 DoS 改ざん Tampering スプーフィング Spoofing 情報漏洩 Information Disclosure 権限の昇格 EoP 否認 Repudiation STRIDE 機密性に影響を与える 信頼性に影響する 完全性に影響 を与える 可⽤性に 影響する 影響 否認防⽌ 影響 認可 STRIDEの各カテゴリの脅威の対象となる要 素は下記の表に⽰すように⼤体決まっている

28. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 脅威ステートメントを書く データフロー図を⾒ながら、起こり得る問題を洗い出してリストアップする • 脅威を例⽰する際は、脅威ステートメントというフォーマットを推奨する [前提条件] を満たす [脅威の発⽣源] が、[脅威アクション] によって[脅威による影 響] につながり、その結果 [影響を受ける資産] に悪影響が及ぶ可能性がある 例︓管理者権限を持っている内部の脅威アクターが、データベースに保存されているデータを改ざんする ことによってクレジットカードの利⽤明細が変更されることにつながり、その結果カード利⽤明細の整合 性に悪影響が及ぶ可能性がある

29. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 脅威の例 Webアプリケーションのユーザー名とパスワードをブルートフォースできる脅威アクターは、認 証されたユーザーを装うことができます。これにより、アクターはユーザーができることは何で も実⾏できるようになり、信頼境界内の資産に悪影響を及ぼします。 スプーフィング エラーログにアクセスできる脅威アクターは、除外または編集されていない機密データにアクセ スできるため、プロジェクトワークスペースの脅威モデルコンテンツの機密性が低下します 情報漏洩 脅威アクターは、 AWS Lambda関数⽤に作成したコードの脆弱性を悪⽤する可能性があります。 これにより、アプリケーションが意図しない動作をし、プロジェクトワークスペースの脅威モデ ルのコンテンツに悪影響を及ぼす可能性があります。 改ざん

30. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. [S]TRIDE : スプーフィングの脅威を⾒つける 30 STRIDE per Element を参照すると、スプーフィ ングの脅威の対象の⼀つとして外部エンティティと ヒューマンアクターがあることがわかる。 脅威 ID 脅威ステートメント 要素 STRIDE T01 [前提条件] を満たす [脅威の発⽣ 源] が、[脅威アクション] によって [脅威による影響] につながり、そ の結果 [影響を受ける資産] に悪影 響が及ぶ可能性がある。 ユーザー S … … ユーザー S スタティックウェブ アプリケーション Amazon Clodfront ディストリビュー ション GitHub ページ AWS アカウントホスティング GitHub AWS アカウント ホスティングします S3 バケット ブラウザ A1 A2 A3 A4 B1 B2

31. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. S[T]RIDE : 改ざんの脅威を⾒つける 31 STRIDE per Element を参照すると、改ざんの脅 威の対象の⼀つとしてデータストアがあることがわ かる。 ゲームデータバックアップ機能のシステムモデルで 定義されているデータストアはテーブルとオブジェ クトバケットである。 脅威 ID 脅威ステートメント 要素 STRIDE T02 [前提条件] を満たす [脅威の発⽣ 源] が、[脅威アクション] によって [脅威による影響] につながり、そ の結果 [影響を受ける資産] に悪影 響が及ぶ可能性がある。 オブジェク トバケット T T03 … オブジェク トバケット T スタティックウェブ アプリケーション Amazon Clodfront ディストリビュー ション GitHub ページ AWS アカウントホスティング GitHub AWS アカウント ホスティングします S3 バケット ブラウザ A1 A2 A3 A4 B1 B2

32. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 脅威をリストアップする 優先順位 脅威 ID 脅威ステートメント 要素 STRIDE T01 似たようなドメイン名を持つ脅威アクターが、ユーザーを騙して偽のエンドポイントとやり取りさ せることで、正当な API リクエストを傍受し、⾞両登録、⾞両リスト、登録状況、⾞両登録関連書 類に悪影響を及ぼす可能性がある。 ユーザー S T02 ⼗分な権限を持つ IAM ロールを引き受けることができる脅威アクターが、DynamoDB テーブルに 保存されているデータを改ざんし、⾞両登録、⾞両リスト、登録状況の機密性が低下する可能性が ある。 テーブル T T03 正規ユーザーとAmazon S3 バケット間で転送中のデータにアクセスできる脅威アクターが、その データの読み取りや変更を⾏うことで、⾞両登録関連⽂書の機密性や完全性が低下する可能性があ る。 オブジェクトバ ケット T T04 ⾞両登録を⾏うことができる脅威アクターが、⾞両登録を⾏っていないと主張することで、脅威ア クターが⾞両登録に関連する⾦銭的請求に異議を唱えることになり、請求の完全性が低下する可能 性がある。 ユーザー R T05 API リクエストを⾏うことができる認証済みの脅威アクターが、本来読み取りを許可されるべきで ない情報を読み取ることで、⾞両登録、⾞両リスト、登録状況、⾞両登録関連書類の機密性が低下 する可能性がある。 API Gateway I T06 AWS Lambda 関数のログにアクセスできる脅威アクターが、ログ内に取り込まれた機密データを⾒ つけることで、⾞両登録、⾞両リスト、登録状況、⾞両登録書類の機密性が低下する可能性がある。 Lambda I T07 DynamoDB テーブルの変更権限を持つ IAM プリンシパルにアクセスできる脅威アクターが、デー タを削除することで、⾞両登録、⾞両リスト、登録状況の可⽤性が低下する可能性がある。 テーブル D T08 S3 バケットの変更権限を持つ IAM プリンシパルにアクセスできる脅威アクターが、Amazon S3 バケット内のデータを削除させることで、⾞両登録関連書類の可⽤性が低下する可能性がある。 オブジェクトバ ケット D T09 正規ユーザーとAPI Gateway間のネットワークトラフィックを修正する権限を持つ脅威アクターが API パラメータ⼊⼒を操作することで、API Gateway が他のユーザーのリソース上でアクションを 実⾏し、その結果、⾞両登録、⾞両リスト、登録状況、⾞両登録関連書類の完全性と機密性が低下 する可能性がある。 API Gateway E T10 脅威アクターが認可ロジックのエラーを利⽤することで、本来許可されるべきでないアクションを 実⾏できるようになり、⾞両登録、⾞両リスト、登録状況、⾞両登録関連書類に悪影響を及ぼす可 能性がある。 Lambda E 必要な項⽬︓優先順位、脅威ID、脅威ステート メント、要素、当てはまったSTRIDEのカテゴリ

33. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 脅威に優先順位をつける 洗い出した脅威に対して「⾼」「中」「低」で優先順位をつける。 発⽣する可能性がある問題に優先順位を付けるにはいくつかの⽅法がある。 例えば、発 ⽣する影響に対して対策のコストがはるかに上回るのであれば対策の優先度を下げると いう⽅法が取れる。投資収益率 (ROI) が最も⾼いものを優先順位として⾼くする。 優先順位 脅威 ID 脅威ステートメント 要素 STRIDE 「⾼」「中」「低」 T01 [前提条件] を満たす [脅威の 発⽣源] が、[脅威アクショ ン] によって[脅威による影 響] につながり、その結果 [影響を受ける資産] に悪影 響が及ぶ可能性がある。 ユーザー S … … … … …

34. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Step 3︓洗い出した脅威への対応 私たちは何に 取り組んでい るのか︖ 何が問題にな り得るのか︖ 私たちはそれに対し て何をするべきか︖ それは⼗分に良い 仕事だったか︖ What are we working on? What can go wrong? What are we going to do about it? Did we do a good enough job? ワークロードの図式化 想定される脅威の洗い出し 想定される脅威への対応 対応の評価

35. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. リスクへの対応戦略 対応戦略 対策内容 対策例 1. 回避 何らかの変更を加えることによって、リスクを排除 する。つまり、そのリスクの可能性をゼロにするか、 その重⼤性を無関係にする。 実装⽅法を完全に変更するなど 2. 低減 (コントロール) リスクを許容可能なレベルまで積極的に低減する。 脆弱性の可能性を低くするように設計された⼿法 （セキュアな設計、特定のプログラミング⾔語、 APIなど）を使⽤するなど。 例えば、転送中のデータを暗号化することで、脅威ア クターにプレーンテキストのメッセージを⾒られる可 能性を低減することが可能。 また有効期間の短い認 証情報を使⽤することは、脅威アクターが認証情報を 使⽤できる期間が限られるため脅威アクターが認証情 報にアクセスした場合の影響を低減する対策の例。 3. 移転 リスクを他の第三者に転嫁すること。サイバー保険 に加⼊したり別の第三者の管理するコンポーネント に変更するなど。 例えば、AWSのマネージドサービスを利⽤すること はAWSの責任共有モデルによりシステムリスクの責 任の⼀部をAWSに転嫁したものと考えることもでき る。 4. 許容 あえてリスクを受容すること。リスクを緩和するた めにかかるコストがリスクを悪⽤された場合の代償 よりも⼤きい場合や、リスクに対処するためのコス トで競争上の優位性を失うことになる場合は、あえ てリスクを許容することも考えられる。 リスクが発⽣した場合の影響よりもリスクを回避、低 減するコストの⽅が⾼い場合はリスクを受容し、発⾒ 的統制に注⼒する。 洗い出した問題を全部直すわけではない。リスク分析 をして、以下の4つの対応戦略から選ぶ

36. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 対策番号 緩和対策 対策の対象 M-001 転送中のデータを保護する T01、T03、T09 M-002 適切な情報のみを返すように API Gateway API レスポンスを設定する T05 M-003 Amazon CloudWatch Logs で機密データを保護する T06 M-004 AWS のモニタリングとログ記録を使⽤する T04 M-005 すべての⼊⼒を検証する:「⼊⼒検証は、ソフトウェアシステムコンポーネントに適切な形式のデータのみが⼊⼒されるようにするプログラミング技法です」 T05、T09 M-006 AWS Certificate Manager (ACM) を使⽤してパブリックおよびプライベートの SSL/TLS 証明書をプロビジョニング、管理、デプロイする T01 M-007 重要リソースへのアクセスを管理し、最⼩特権アクセス許可を適⽤する T02、T07、T08 M-008 保管中のデータを保護する T07、T08 M-009 データをバックアップする T07、T08 M-010 セキュリティ管理策のテストと検証を⾃動化する T09、T10 M-011 ユーザーの認証に Cognito と API Gateway を使⽤する T05、T09、T10 M-012 IAM でのセキュリティのベストプラクティスを使⽤して、AWS アカウントとリソースへのアクセスを管理する T02、T06、T07、T08 M-013 S3 の署名付き URL の機能を制限する T03 M-014 Cognito を使⽤してユーザー認証を⾏う T09 M-015 サインインに堅牢なメカニズムを使⽤する T09 M-016 Amazon Macie を使って機密データを発⾒し、保護する M-017 AWS Web Application Firewall と AWS Shield を使⽤する M-018 予期しない、あるいは望ましくない設定変更を検出し、予期しない動作を検出する M-019 API Gateway で Lambda 統合を設定する M-020 API リクエストを調整する M-021 発⾒的コントロールを使⽤して、潜在的なセキュリティ脅威やインシデントを特定する M-022 脆弱性管理を⾏う M-023 コストを積極的に監視する リスク低減対策をリストアップする 脅威リストと同様に、リスクの対 策もリストアップする

37. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 完成した脅威・対策のリストの例 優先順位 脅威 ID 脅威ステートメント 要素 STRIDE 考えられる対策 ⾼ T01 似たようなドメイン名を持つ脅威アクターが、ユーザーを騙して偽のエンドポイントとやり取りさ せることで、正当な API リクエストを傍受し、⾞両登録、⾞両リスト、登録状況、⾞両登録関連 書類に悪影響を及ぼす可能性がある。 ユーザー S M-001、M-006 中 T02 ⼗分な権限を持つ IAM ロールを引き受けることができる脅威アクターが、DynamoDB テーブル に保存されているデータを改ざんし、⾞両登録、⾞両リスト、登録状況の機密性が低下する可能性 がある。 テーブル T M-007、M-012 低 T03 正規ユーザーとAmazon S3 バケット間で転送中のデータにアクセスできる脅威アクターが、その データの読み取りや変更を⾏うことで、⾞両登録関連⽂書の機密性や完全性が低下する可能性があ る。 オブジェ クトバ ケット T M-001、M-013 ⾼ T04 ⾞両登録を⾏うことができる脅威アクターが、⾞両登録を⾏っていないと主張することで、脅威ア クターが⾞両登録に関連する⾦銭的請求に異議を唱えることになり、請求の完全性が低下する可能 性がある。 ユーザー R M-004 ⾼ T05 API リクエストを⾏うことができる認証済みの脅威アクターが、本来読み取りを許可されるべきで ない情報を読み取ることで、⾞両登録、⾞両リスト、登録状況、⾞両登録関連書類の機密性が低下 する可能性がある。 API Gateway I M-002、M-005、 M-011 中 T06 AWS Lambda 関数のログにアクセスできる脅威アクターが、ログ内に取り込まれた機密データを ⾒つけることで、⾞両登録、⾞両リスト、登録状況、⾞両登録書類の機密性が低下する可能性があ る。 Lambda I M-003、M-012 低 T07 DynamoDB テーブルの変更権限を持つ IAM プリンシパルにアクセスできる脅威アクターが、 データを削除することで、⾞両登録、⾞両リスト、登録状況の可⽤性が低下する可能性がある。 テーブル D M-007、M-008、 M-009、M-012 中 T08 S3 バケットの変更権限を持つ IAM プリンシパルにアクセスできる脅威アクターが、Amazon S3 バケット内のデータを削除させることで、⾞両登録関連書類の可⽤性が低下する可能性がある。 オブジェ クトバ ケット D M-007、M-008、 M-009、M-012 中 T09 正規ユーザーとAPI Gateway間のネットワークトラフィックを修正する権限を持つ脅威アクターが API パラメータ⼊⼒を操作することで、API Gateway が他のユーザーのリソース上でアクション を実⾏し、その結果、⾞両登録、⾞両リスト、登録状況、⾞両登録関連書類の完全性と機密性が低 下する可能性がある。 API Gateway E M-001、M-005、 M-010、M-011、 M-014、M-015 中 T10 脅威アクターが認可ロジックのエラーを利⽤することで、本来許可されるべきでないアクションを 実⾏できるようになり、⾞両登録、⾞両リスト、登録状況、⾞両登録関連書類に悪影響を及ぼす可 能性がある。 Lambda E M-005、M-010、 M-011 脅威への対策が決まったら、具体的な TODO項⽬（JIRAのチケットなど）にし て、対策を実施する

38. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Step 4︓対応の評価 私たちは何に 取り組んでい るのか︖ 何が問題にな り得るのか︖ 私たちはそれに対し て何をするべきか︖ それは⼗分に良い 仕事だったか︖ What are we working on? What can go wrong? What are we going to do about it? Did we do a good enough job? ワークロードの図式化 想定される脅威の洗い出し 想定される脅威への対応 対応の評価

39. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 脅威モデリングフライホイール 脅威モデリングは⼀回だけでなく、定期的かつ継 続的に実施することが重要 脅威モデルは⽣きている⽂書として扱う必要があ る • システムの変更、新機能やコンポーネント作成 時など、脅威モデリングを⾏うことを推奨 • 最初は不慣れでも、繰り返すことでよりスムー ズに進められるようになる • 振り返りで良かった点や改善点を洗い出し、プ ロセスの改善も可能

40. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. プロセスの有⽤性を評価する 41 脅威モデルを評価するには、そのモデルが、「何に取り組んでいるのか」「どのような問 題が起きる可能性があるのか」「どのように対処するのか」という質問に⼗分に答えられ るかどうかを検証する必要がある 私たちは何に 取り組んでい るのか︖ 何が問題にな り得るのか︖ 私たちはそれに対し て何をするべきか︖ それは⼗分に良い 仕事だったか︖ What are we working on? What can go wrong? What are we going to do about it? Did we do a good enough job? ワークロードの図式化 想定される脅威の洗い出し 想定される脅威への対応 対応の評価 適切なリソース (図表作成ツール、 ホワイトボードなど) を⽤意できた か︖システムをきちんと理解できた か︖

41. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. プロセスの有⽤性を評価する 42 脅威モデルを評価するには、そのモデルが、「何に取り組んでいるのか」「どのような問 題が起きる可能性があるのか」「どのように対処するのか」という質問に⼗分に答えられ るかどうかを検証する必要がある 私たちは何に 取り組んでい るのか︖ 何が問題にな り得るのか︖ 私たちはそれに対し て何をするべきか︖ それは⼗分に良い 仕事だったか︖ What are we working on? What can go wrong? What are we going to do about it? Did we do a good enough job? ワークロードの図式化 想定される脅威の洗い出し 想定される脅威への対応 対応の評価 脅威を⾒つけられたか︖⾒ つかった脅威の数は予想よ り多かった・少なかった か︖

42. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. プロセスの有⽤性を評価する 43 脅威モデルを評価するには、そのモデルが、「何に取り組んでいるのか」「どのような問 題が起きる可能性があるのか」「どのように対処するのか」という質問に⼗分に答えられ るかどうかを検証する必要がある 私たちは何に 取り組んでい るのか︖ 何が問題にな り得るのか︖ 私たちはそれに対し て何をするべきか︖ それは⼗分に良い 仕事だったか︖ What are we working on? What can go wrong? What are we going to do about it? Did we do a good enough job? ワークロードの図式化 想定される脅威の洗い出し 想定される脅威への対応 対応の評価 ⾒つかった対策の数はどの くらいだったか︖実施した 対策によって、⾒つかった 脅威を⼗分に緩和できた か︖

43. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. プロセスの有⽤性を評価する 44 脅威モデルを評価するには、そのモデルが、「何に取り組んでいるのか」「どのような問 題が起きる可能性があるのか」「どのように対処するのか」という質問に⼗分に答えられ るかどうかを検証する必要がある 私たちは何に 取り組んでい るのか︖ 何が問題にな り得るのか︖ 私たちはそれに対し て何をするべきか︖ それは⼗分に良い 仕事だったか︖ What are we working on? What can go wrong? What are we going to do about it? Did we do a good enough job? ワークロードの図式化 想定される脅威の洗い出し 想定される脅威への対応 対応の評価 脅威モデリングのプロセス は、システムの安全性を⾼ め、改善できたか︖

44. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 参考資料 • AWS ビルダーのための脅威モデリング：AWS公式ドキュメントの脅威モデリング チュートリアル・推奨リソース • https://catalog.workshops.aws/threatmodel/ja-JP • Microsoft Threat Modeling Tool の脅威：STRIDEに関する記事 • https://learn.microsoft.com/ja-jp/azure/security/develop/threat-modeling-tool- threats

45. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. ワークショップによる実践

46. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. ワークショップコンテンツ ビルダーのための脅威モデリング • https://catalog.workshops.aws/threatmodel/ja-JP • 原題 ʻThreat modeling for buildersʼ の⽇本語訳版のプレビュー

47. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. ワークショップの題材 AWS 上で構築される仮想のワークロード「AWS Connected Vehicle Solution」 あくまで題材であり、本ワークロードの構成を 網羅的に把握していただく必要はありません 機能要件 • IoT 接続車両 • 車両登録 • ドライバー登録 • 診断エラーコードの取得 • 接続車両から当社 AWS ソリューション への走行データ送信 など https://catalog.workshops.aws/threatmodel/ja-JP/case- study

48. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Exercise 1: DFD の作成 https://catalog.workshops.aws/threatmodel/ja-JP/what-are- we-working-on/exercise • ”AWS Connected Vehicle Solution” の中で、「⾞両登録 機能」に着⽬します • Front: Amplify, Cognito, API GW • Back: Lambda, DynamoDB, S3 • データフロー図 (DFD) のス テップ 1 ~ 5 を実施し、データフロー 図を完成させます

49. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 参照⽤ DFD https://catalog.workshops.aws/threatmodel/ja-JP/what-can- go-wrong/reference-data-flow-diagram ワークショップでは参照⽤データフロー図 (DFD) を⽤います • 要素 • Human Actor (External Entity) • User • Process • API Gateway • Lambda • DataStore • DynamoDB Tables • S3 Bucket, Object • データフロー • Tokens, API Method, Data, Object • GUIDs • … • 信頼境界 • Vehicle Registration • API • … ⾞両登録機能のデータフロー図

50. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Exercise 2: 脅威分析 https://catalog.workshops.aws/threatmodel/ja-JP/what-can- go-wrong/exercise 参照⽤ DFD と、STRIDE (STRIDE-per-Element チャート) を使って、脅威リストを作成します <⽬安時間: 30 分> グループワークの アウトプット 脅威リストには、 • 優先順位 • 脅威 ID • 脅威ステートメント • 要素 • STRIDE を記載

51. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. [再掲] 分析⼿法とツール ⑤ サービス拒否 DoS ② 改ざん Tampering ① スプーフィング Spoofing ④ 情報漏洩 Information Disclosure ⑥ 権限の昇格 EoP ③ 否認 Repudiation STRIDE 機密性に影響を与える 信頼性に影響する 完全性に影響 を与える 可⽤性に 影響する 影響 否認防⽌ 影響 認可 1. Spoofing・スプーフィング：ID のなりすましでは、どのような 認証脅威が発生する可能性があるか 2. Tampering・改ざん：移動中か保管中かを問わず、データの改 ざんにつながるインテグリティの脅威にはどのようなものがある か 3. Repudiation・否認：発生する可能性のあるアクションを拒否す る原因となる監査上の脅威の種類（アクションを拒否したり、発 生したアクションを隠したりできる） 4. Information Disclosure・情報漏洩：どのような機密保持の脅威 が発生して情報開示につながる可能性があるか 5. Denial of Service・サービス拒否：どのような種類の可用性脅威 が発生してサービス拒否の脅威が発生する可能性があるか 6. Elevation of Privilege・権限の昇格：権限昇格ではどのような 権限の脅威が発生する可能性がありますか 脅威モデリングの分析⼿法として STRIDEがよく⽤いられる

52. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. [再掲] STRIDEとデータフロー図の各コンポーネント サービス拒否 DoS 改ざん Tampering スプーフィング Spoofing 情報漏洩 Information Disclosure 権限の昇格 EoP 否認 Repudiation STRIDE 機密性に影響を与える 信頼性に影響する 完全性に影響 を与える 可⽤性に 影響する 影響 否認防⽌ 影響 認可 STRIDEの各カテゴリの脅威の対象となる要 素は下記の表に⽰すように⼤体決まっている

53. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. [S]TRIDE : スプーフィングの脅威を⾒つける 54 STRIDE per Element を参照すると、スプーフィ ングの脅威の対象の⼀つとして外部エンティティと ヒューマンアクターがあることがわかる。 脅威 ID 脅威ステートメント 要素 STRIDE T01 [前提条件] を満たす [脅威の発⽣ 源] が、[脅威アクション] によって [脅威による影響] につながり、そ の結果 [影響を受ける資産] に悪影 響が及ぶ可能性がある。 ユーザー S … … ユーザー S

54. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. S[T]RIDE : 改ざんの脅威を⾒つける 55 STRIDE per Element を参照すると、改ざんの脅 威の対象の⼀つとしてデータストアがあることがわ かる。 ゲームデータバックアップ機能のシステムモデルで 定義されているデータストアはテーブルとオブジェ クトバケットである。 脅威 ID 脅威ステートメント 要素 STRIDE T02 [前提条件] を満たす [脅威の発⽣ 源] が、[脅威アクション] によって [脅威による影響] につながり、そ の結果 [影響を受ける資産] に悪影 響が及ぶ可能性がある。 テーブル T T03 … オブジェク トバケット T

55. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. ST[R]IDE : 否認の脅威を⾒つける 56 脅威 ID 脅威ステートメント 要素 STRIDE T04 [前提条件] を満たす [脅威の発⽣ 源] が、[脅威アクション] によって [脅威による影響] につながり、そ の結果 [影響を受ける資産] に悪影 響が及ぶ可能性がある。 ユーザー R … … ユーザー R STRIDE per Element を参照すると、否認の脅威 の対象の⼀つとして外部エンティティとヒューマン アクターがあることがわかる。

56. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. STR[I]DE : 情報漏洩の脅威を⾒つける 57 脅威 ID 脅威ステートメント 要素 STRIDE T05 [前提条件] を満たす [脅威の発⽣ 源] が、[脅威アクション] によって [脅威による影響] につながり、そ の結果 [影響を受ける資産] に悪影 響が及ぶ可能性がある。 API Gateway I T06 … Lambda I … … … I STRIDE per Element を参照すると、情報漏洩の 脅威の対象の⼀つとしてプロセスがあることがわか る。 ゲームデータバックアップ機能のシステムモデルで 定義されているプロセスは API Gateway と Lambda である。

57. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. STRI[D]E : サービス拒否の脅威を⾒つける 58 脅威 ID 脅威ステートメント 要素 STRIDE T07 [前提条件] を満たす [脅威の発⽣ 源] が、[脅威アクション] によって [脅威による影響] につながり、そ の結果 [影響を受ける資産] に悪影 響が及ぶ可能性がある。 テーブル D T08 … オブジェク トバケット D STRIDE per Element を参照すると、サービス拒 否の脅威の対象の⼀つとしてデータストアがあるこ とがわかる。 ゲームデータバックアップ機能のシステムモデルで 定義されているデータストアはテーブルとオブジェ クトバケットである。

58. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. STRID[E] : 権限の昇格の脅威を⾒つける 59 脅威 ID 脅威ステートメント 要素 STRIDE T09 [前提条件] を満たす [脅威の発⽣ 源] が、[脅威アクション] によって [脅威による影響] につながり、そ の結果 [影響を受ける資産] に悪影 響が及ぶ可能性がある。 API Gateway E T10 … Lambda E STRIDE per Element を参照すると、権限の昇格 の脅威の対象はプロセスのみであることがわかる。 ゲームデータバックアップ機能のシステムモデルで 定義されているプロセスは API Gateway と Lambda である。

59. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. [再掲] 脅威をリストアップする 優先順位 脅威 ID 脅威ステートメント 要素 STRIDE T01 似たようなドメイン名を持つ脅威アクターが、ユーザーを騙して偽のエンドポイントとやり取りさ せることで、正当な API リクエストを傍受し、⾞両登録、⾞両リスト、登録状況、⾞両登録関連書 類に悪影響を及ぼす可能性がある。 ユーザー S T02 ⼗分な権限を持つ IAM ロールを引き受けることができる脅威アクターが、DynamoDB テーブルに 保存されているデータを改ざんし、⾞両登録、⾞両リスト、登録状況の機密性が低下する可能性が ある。 テーブル T T03 正規ユーザーとAmazon S3 バケット間で転送中のデータにアクセスできる脅威アクターが、その データの読み取りや変更を⾏うことで、⾞両登録関連⽂書の機密性や完全性が低下する可能性があ る。 オブジェクトバ ケット T T04 ⾞両登録を⾏うことができる脅威アクターが、⾞両登録を⾏っていないと主張することで、脅威ア クターが⾞両登録に関連する⾦銭的請求に異議を唱えることになり、請求の完全性が低下する可能 性がある。 ユーザー R T05 API リクエストを⾏うことができる認証済みの脅威アクターが、本来読み取りを許可されるべきで ない情報を読み取ることで、⾞両登録、⾞両リスト、登録状況、⾞両登録関連書類の機密性が低下 する可能性がある。 API Gateway I T06 AWS Lambda 関数のログにアクセスできる脅威アクターが、ログ内に取り込まれた機密データを⾒ つけることで、⾞両登録、⾞両リスト、登録状況、⾞両登録書類の機密性が低下する可能性がある。 Lambda I T07 DynamoDB テーブルの変更権限を持つ IAM プリンシパルにアクセスできる脅威アクターが、デー タを削除することで、⾞両登録、⾞両リスト、登録状況の可⽤性が低下する可能性がある。 テーブル D T08 S3 バケットの変更権限を持つ IAM プリンシパルにアクセスできる脅威アクターが、Amazon S3 バケット内のデータを削除させることで、⾞両登録関連書類の可⽤性が低下する可能性がある。 オブジェクトバ ケット D T09 正規ユーザーとAPI Gateway間のネットワークトラフィックを修正する権限を持つ脅威アクターが API パラメータ⼊⼒を操作することで、API Gateway が他のユーザーのリソース上でアクションを 実⾏し、その結果、⾞両登録、⾞両リスト、登録状況、⾞両登録関連書類の完全性と機密性が低下 する可能性がある。 API Gateway E T10 脅威アクターが認可ロジックのエラーを利⽤することで、本来許可されるべきでないアクションを 実⾏できるようになり、⾞両登録、⾞両リスト、登録状況、⾞両登録関連書類に悪影響を及ぼす可 能性がある。 Lambda E 必要な項⽬︓優先順位、脅威ID、脅威ステート メント、要素、当てはまったSTRIDEのカテゴリ

60. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Exercise 3: 対処 https://catalog.workshops.aws/threatmodel/ja-JP/what-are- we-going-to-do-about-it/exercise 作成した脅威リストに対し、 緩和策の洗い出しと選択を⾏います <⽬安時間: 30 分> グループワークの アウトプット • 考えられる対策 • 選択した対策 • 緩和されたか を追加で記載

61. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. [再掲] リスクへの対応戦略 対応戦略 対策内容 対策例 1. 回避 何らかの変更を加えることによって、リスクを排除 する。つまり、そのリスクの可能性をゼロにするか、 その重⼤性を無関係にする。 実装⽅法を完全に変更するなど 2. 低減 (コントロール) リスクを許容可能なレベルまで積極的に低減する。 脆弱性の可能性を低くするように設計された⼿法 （セキュアな設計、特定のプログラミング⾔語、 APIなど）を使⽤するなど。 例えば、転送中のデータを暗号化することで、脅威ア クターにプレーンテキストのメッセージを⾒られる可 能性を低減することが可能。 また有効期間の短い認 証情報を使⽤することは、脅威アクターが認証情報を 使⽤できる期間が限られるため脅威アクターが認証情 報にアクセスした場合の影響を低減する対策の例。 3. 移転 リスクを他の第三者に転嫁すること。サイバー保険 に加⼊したり別の第三者の管理するコンポーネント に変更するなど。 例えば、AWSのマネージドサービスを利⽤すること はAWSの責任共有モデルによりシステムリスクの責 任の⼀部をAWSに転嫁したものと考えることもでき る。 4. 許容 あえてリスクを受容すること。リスクを緩和するた めにかかるコストがリスクを悪⽤された場合の代償 よりも⼤きい場合や、リスクに対処するためのコス トで競争上の優位性を失うことになる場合は、あえ てリスクを許容することも考えられる。 リスクが発⽣した場合の影響よりもリスクを回避、低 減するコストの⽅が⾼い場合はリスクを受容し、発⾒ 的統制に注⼒する。 洗い出した問題を全部直すわけではない。リスク分析 をして、以下の4つの対応戦略から選ぶ

62. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 対策番号 緩和対策 対策の対象 M-001 転送中のデータを保護する T01、T03、T09 M-002 適切な情報のみを返すように API Gateway API レスポンスを設定する T05 M-003 Amazon CloudWatch Logs で機密データを保護する T06 M-004 AWS のモニタリングとログ記録を使⽤する T04 M-005 すべての⼊⼒を検証する:「⼊⼒検証は、ソフトウェアシステムコンポーネントに適切な形式のデータのみが⼊⼒されるようにするプログラミング技法です」 T05、T09 M-006 AWS Certificate Manager (ACM) を使⽤してパブリックおよびプライベートの SSL/TLS 証明書をプロビジョニング、管理、デプロイする T01 M-007 重要リソースへのアクセスを管理し、最⼩特権アクセス許可を適⽤する T02、T07、T08 M-008 保管中のデータを保護する T07、T08 M-009 データをバックアップする T07、T08 M-010 セキュリティ管理策のテストと検証を⾃動化する T09、T10 M-011 ユーザーの認証に Cognito と API Gateway を使⽤する T05、T09、T10 M-012 IAM でのセキュリティのベストプラクティスを使⽤して、AWS アカウントとリソースへのアクセスを管理する T02、T06、T07、T08 M-013 S3 の署名付き URL の機能を制限する T03 M-014 Cognito を使⽤してユーザー認証を⾏う T09 M-015 サインインに堅牢なメカニズムを使⽤する T09 M-016 Amazon Macie を使って機密データを発⾒し、保護する M-017 AWS Web Application Firewall と AWS Shield を使⽤する M-018 予期しない、あるいは望ましくない設定変更を検出し、予期しない動作を検出する M-019 API Gateway で Lambda 統合を設定する M-020 API リクエストを調整する M-021 発⾒的コントロールを使⽤して、潜在的なセキュリティ脅威やインシデントを特定する M-022 脆弱性管理を⾏う M-023 コストを積極的に監視する [再掲] リスク低減対策をリストアップする 脅威リストと同様に、リスクの対 策もリストアップする

63. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. [再掲] 完成した脅威・対策のリストの例 優先順位 脅威 ID 脅威ステートメント 要素 STRIDE 考えられる対策 ⾼ T01 似たようなドメイン名を持つ脅威アクターが、ユーザーを騙して偽のエンドポイントとやり取りさ せることで、正当な API リクエストを傍受し、⾞両登録、⾞両リスト、登録状況、⾞両登録関連 書類に悪影響を及ぼす可能性がある。 ユーザー S M-001、M-006 中 T02 ⼗分な権限を持つ IAM ロールを引き受けることができる脅威アクターが、DynamoDB テーブル に保存されているデータを改ざんし、⾞両登録、⾞両リスト、登録状況の機密性が低下する可能性 がある。 テーブル T M-007、M-012 低 T03 正規ユーザーとAmazon S3 バケット間で転送中のデータにアクセスできる脅威アクターが、その データの読み取りや変更を⾏うことで、⾞両登録関連⽂書の機密性や完全性が低下する可能性があ る。 オブジェ クトバ ケット T M-001、M-013 ⾼ T04 ⾞両登録を⾏うことができる脅威アクターが、⾞両登録を⾏っていないと主張することで、脅威ア クターが⾞両登録に関連する⾦銭的請求に異議を唱えることになり、請求の完全性が低下する可能 性がある。 ユーザー R M-004 ⾼ T05 API リクエストを⾏うことができる認証済みの脅威アクターが、本来読み取りを許可されるべきで ない情報を読み取ることで、⾞両登録、⾞両リスト、登録状況、⾞両登録関連書類の機密性が低下 する可能性がある。 API Gateway I M-002、M-005、 M-011 中 T06 AWS Lambda 関数のログにアクセスできる脅威アクターが、ログ内に取り込まれた機密データを ⾒つけることで、⾞両登録、⾞両リスト、登録状況、⾞両登録書類の機密性が低下する可能性があ る。 Lambda I M-003、M-012 低 T07 DynamoDB テーブルの変更権限を持つ IAM プリンシパルにアクセスできる脅威アクターが、 データを削除することで、⾞両登録、⾞両リスト、登録状況の可⽤性が低下する可能性がある。 テーブル D M-007、M-008、 M-009、M-012 中 T08 S3 バケットの変更権限を持つ IAM プリンシパルにアクセスできる脅威アクターが、Amazon S3 バケット内のデータを削除させることで、⾞両登録関連書類の可⽤性が低下する可能性がある。 オブジェ クトバ ケット D M-007、M-008、 M-009、M-012 中 T09 正規ユーザーとAPI Gateway間のネットワークトラフィックを修正する権限を持つ脅威アクターが API パラメータ⼊⼒を操作することで、API Gateway が他のユーザーのリソース上でアクション を実⾏し、その結果、⾞両登録、⾞両リスト、登録状況、⾞両登録関連書類の完全性と機密性が低 下する可能性がある。 API Gateway E M-001、M-005、 M-010、M-011、 M-014、M-015 中 T10 脅威アクターが認可ロジックのエラーを利⽤することで、本来許可されるべきでないアクションを 実⾏できるようになり、⾞両登録、⾞両リスト、登録状況、⾞両登録関連書類に悪影響を及ぼす可 能性がある。 Lambda E M-005、M-010、 M-011 脅威への対策が決まったら、具体的な TODO項⽬（JIRAのチケットなど）にし て、対策を実施する

64. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Q&A