脅威モデリングに基づく普遍的アプローチ

Authors

Loren Kohnfelder 秋 勇紀, 高田 新山, 小出 洋（監訳）

#Book #Security

セキュアなソフトウェアの設計と開発

セキュアなソフトウェアの設計と開発 - 秀和システム新社 あなたの学びをサポート！

第I部 コンセプト

第1章 基礎

• C-I-A
• ゴールドスタンダード/RBAC/ABAC/PBAC
• 否認防止性/ゴルディロックスの原理

第2章 脅威

• 脅威モデリング
• SSHデーモン
• STRIDE

第3章 軽減策

• コードアクセスセキュリティ（CAS）

第4章 パターン

• 設計の特徴
  • 無駄のない設計
  • 透明な設計
• 露出の最小化
  • 最小権限
  • 最小情報
  • セキュア・バイ・デフォルト
  • ブロックリストより許可リスト
  • 予測可能性を避ける
  • セキュアに失敗する
• 強い強制力
  • 完全な仲介
  • 共通メカニズムの最小化
    • Cookie
• 冗長性
  • 多層防御
  • 権限の分離
• 信頼と責任
  • 信頼へのためらい
  • セキュリティに責任を負う

第5章 暗号技術

第II部 設計

第6章 セキュアな設計

第7章 セキュリティ設計レビュー

第III部 実装

第8章 セキュアなプログラミング

第9章 低レベルコーディングの欠陥

第10章 信頼できない入力

第11章 Webのセキュリティ

• HTTP/URL
• REFERER
• HTTPS
• デジタル証明書
  • Let's Encrypt/Cerbot
  • DV証明書/OV証明書/EV証明書
• 同一生成元ポリシー
• DOM
• Cookie/Strict-Transport-Security
• CORS
• XSS
• CSRF

第12章 セキュリティテスト

第13章 セキュアな開発のためのベストプラクティス