セキュリティ脆弱性をカテゴライズするような脅威モデリングでの方法論
Microsoft Threat Modeling ToolではSTRIDEを利用していくつかの自動分析を行うことができる
STRIDEは以下の頭文字を取ったもの
- Spoofing(なりすまし)
- Tampering(改ざん)
- インジェクション攻撃
- マスアサインメント攻撃
- Repudiation(否認)
- ログ・監査証跡の不足
- デジタル署名の欠如
- タイムスタンプの不備
- Information Disclosure(情報漏洩)
- 過剰なデータ露出
- 不適切なインベントリ管理
- Denial of Service(サービス拒否)
- Elevation of privilege(権限昇格)
