概要
脅威モデリングは、構築前に脅威や設計上の弱点を特定するために、システムのアーキテクチャ、データフロー、信頼境界をマッピングする、構造化された設計段階の取り組みです。STRIDEやPASTAといったフレームワークを用い、何が起こり得るか、そしてそれにどう対処するかに答えます。開発が始まる前に潜在的な攻撃経路を特定し、データフロー、信頼境界、アーキテクチャの決定を検討します。目的は、修正コストが最も低い早期にセキュリティ上の弱点を発見することです。
方法論&標準
STRIDE、PASTA、攻撃ツリー、プライバシー向けのLINDDUNを、OWASP Threat Modeling Cheat Sheetとともに活用します。各実施はシステムのスコープを定義し、データフロー図(DFD)を作成し、STRIDEを用いて脅威を特定し、影響を評価してリスクの優先順位を付けます。
含まれる内容
信頼境界を伴うデータフロー図
STRIDE/PASTAにマッピングされた脅威の列挙
ビジネスコンテキストに結びついたリスクのランク付け
データフロー図のレビュー
信頼境界の特定
STRIDEに基づく脅威分析
リスクの優先順位付けと緩和ガイダンス
提供される成果物
優先順位付けされたリスク登録簿と具体的な緩和策
構築のためのセキュリティ要件
チームが維持できる再利用可能なモデル
OWASP準拠経営層向けレポート修正ガイダンス再テストを含む証明書スキャナーのダンプなし
よくある質問
できるだけ早く、コードを書く前の設計段階または大規模な再設計の段階です。アーキテクチャを安価に変更できるのはその時点であり、また、実際のリスクがどこに集中しているかを侵入テスターに示します。
適合性に応じて選びます。STRIDEはコンポーネントごとの列挙に対して高速かつ体系的で、PASTAはより高いリスクのシステムに対してリスクおよびビジネス中心です。両者を組み合わせ、プライバシー向けにLINDDUNを加えることも多くあります。
脅威モデリングは通常、ソフトウェア開発ライフサイクル(SDLC)の設計フェーズで実施され、開発が始まる前にセキュリティリスクを特定し、修正コストを低減し、セキュリティ・バイ・デザインを向上させます。