スポンサードリンク
脅威モデリング
セキュリティ関連の話の認識
設計の時点から
「攻撃者の視点」で考えるのは
品質やリスクの考えかたと合致するので
新たな知見を得たくて参加です
脅威モデリングの説明
小笠さん
4時間のものを2時間でやるよー
システムの脅威を把握して
対策を取るのが目的
モデルを作成して
脅威と対策を理解すること
実装した後にセキュリティチェックして
脆弱性対応が多すぎると泣きそうになるので、、、
設計段階から考えて
リスクを受容できるラインを見極める
脅威は起こると困ることを考える
攻撃者ばかり考えない方がいい
どう言うところで権限が変わっていくか
脅威と発生確率、インパクト
脅威を洗い出してスコアリングし
優先順位を決める
1.何に取り組んでいるか
2.何が起きると困るのか
3.防ぐためにどうする
4.うまく実行できているか
STRIDE
なりすまし
改ざん
否認
情報漏洩
サービス遮断
権限昇格
詳細化して受容できるリスクまでに
落とし込んでいく
複数人でやることで
いろんなアイデアが出てくる
ワーキング
ポイントの抜粋
DFDとストライド
OWAPSリスクテイキング
権限の境目 アタックツリー
いろいろ考えることが重要
自分からセキュリティを考え始める
懇親会と感想
飲めば良い
セキュリティリスクも
プロジェクトマネジメントリスクの考え方も
一段階抽象化すれば同じ
それをどう展開するか
チェックリストの功罪も知っている
ただ、みんなをどう育てるか
文書にどこまで活躍してもらうかかなあ
レビューは応援やで
