脅威モデリング

commited date: 2024-12-26

Threat Modeling

アプリケーションに影響を与える脅威、攻撃、脆弱性、対策を特定する技術

モデリング手法として5つのステップを繰り返すよう紹介している

Defining security requirements.
Creating an application diagram.
Identifying threats.
Mitigating threats.
Validating that threats have been mitigated.

Microsoft Security Development Lifecycle Threat Modelling

STRIDE

#Security セキュリティ脆弱性をカテゴライズするような脅威モデリングでの方法論 Microsoft Threat Modeling ToolではSTRIDEを利用していくつかの自動分析を行うことができる STRIDEは以下の頭文字を取ったもの Spoofing（なりすまし） Tampering（改ざん）インジェクション攻撃マスアサインメント攻撃 Repudiation（否認） Information Disclosure（情報漏洩）過剰なデータ露出不適切なインベントリ管理 Denial of Service（サービス拒否） Dos攻撃 Elevation of privilege（権限昇格） STRIDEモデル

Microsoft Threat Modeling Tool

#Security 脅威モデリングを行うためのツール群 Microsoft Threat Modeling Tool の概要 - Azure | Microsoft Learn

マスタリングAPIアーキテクチャ