TM本勉強会脅威分析研究会 SIGSTA Chapter 0 intro

(1)

Threat Modeling

第0章インダション

久保正樹

JPCERT _ー _ー _{ンンター}

2016 _年3⽉30⽇

＠脅威分析研究会

(2)

TM _{本ついて}

Threat Modeling: Designing for Security

— 著者：Adam Shostack

— 発⾏：2014年2⽉17⽇ Wiley 社 1 ^st ^ed.

— _書籍 _： http://threatmodelingbook.com/

中国語翻訳 2015年出

Bruce Shneier _⽒絶賛

—“Probably the best IT security book of the year is Adam

Shostack's Threat Modeling”

Microsoft Press TM _{本第２版} _い

(3)

著者 Adam Shostack さん

経歴

CVE _⽴上 _⽴役者 (1997 _年 )

MS _時代

— Microsoft SDL Threat Modeling Tool _開発

— ーム Eleavation of Privilege 開発

現在ベンチー起業家活動

http://www.homeport.org/~adam/

“Threat Modeling Lessons from Star Wars”

— BruCON 2014 _基調講演 _ター _ー _{⾝近例引}

脅威ン紹介

(4)

脅威モリンと

”In short, threat modeling is the use of abstractions to aid

in thinking about risks.”

2 _種類

— 分析対象 (what you’re building)

— _脅威 (what can go wrong)

⾔葉の整理 (ISO/IEC 27000:2016)

— 脅威 (threat)

potential cause of an unwanted incident, which may result in

harm to a system or organization

— (risk)

effect of uncertainty on objectives

—objective: result to be achieved

(5)

んため脅威モリンす

早期脆弱性 (security bugs) 発⾒

— _{い製品開発} _{市場提供}

ム必要キ要件く理解

— _{要件ビ} _上現実的 _別問題

他⼿法発⾒い問題発⾒解決

—ex) _{ー認証機構不在} _{ー分析⾒} _い

— _à _{逆いえ} _脅威 _ン _{他⼿法}

問題ーい

(6)

想定読者

複雑技術作運⽤⼈

— _ソ _開発者

— _ム管理者

— _キ _{ンニ}

⼀応下う位置う

— _{本書前半} _向

— _後半 _キ _{ンニ向}

(7)

本書ら得ら

全般

— _脅威 _ン _⼿法 _適⽤

キ開発配備

— _キ上妥協 (tradeoff) 仕⽅

許容くい場合あ

場合考慮・評価うえ適切妥

協

ソ開発者品証 PM

— _{設計上問題発⾒} _対応 _⽅法

ムーキチ運⽤管理

— _{ム設計} _{ンポーン} _{選定上脅威対応}

— _ム _{ービ} _{組織内⼈⾏動関} _考

え⽅⾒直

(8)

本書ら得ら

キンニ

— _脅威 _ン _体系 _{⽅法学} _{⽣産性上}

— _脅威 _ン _い _⾃明 _思 _い

実うい正いわい学ぶ

ソ妥協 (tradeoff) 産物

— _{妥協世中動} _い

良い妥協いソ作

(9)

4 _{つスップら} _{フームワー}

脅威ン ¹ 活動いう独⽴

ーあ構成活動

1. _ム

く

2. _脅威

探 ^3. ^対応 ^脅威 ^4. ^有効性 ^検証

Part I

第2章 Models of Software

Part II ”Finding Threat”

(STRIDE, Attack Tree )

Part III “Managing and

Addressing Threats”

Part III

第10章 Validating That

Threats are Addressed

(10)

4 _{つスップら} _{フームワー}

1. _{作う} _い _？

ü _ム _化

2. _完成 _{問題起} _う _？

ü _使 _{脅威⾒}

3. _起 _{う問題} _う対応 _？

ü _{脅威対応}

4. _{分析うくい} _？

ü _脅威 _ン _{網羅性効果検証}

(11)

本書構成

Part I _う

— _脅威 _ン _{導⼊ソ} _化⼿法

紹介

Part II _{脅威⾒}

— _{脅威⾒} _⼿法 _ー pro/con

Part III _{脅威管理対応}

— _⾒ _{脅威管理} _{対応戦略対応} _技術

Part IV _特定 _ー分野 _脅威 _ン

— _{ー管理暗号}

Part V _次

— _⾃組織 _{導⼊⽅法実験的} _{ーチ成功戦略}

付録

— _チー _ー Threat Tree, _攻撃者 _権限

昇格ーム事例研究

(12)

脅威モリンついて新た思うとこ

著者⻑年脅威ン得気

— _脅威 _ン _{⽅ 1} _い

— _{正い} _⽅ _{い脅威⾒} _⽅法

— _脅威 _ン _ー _ン管理

開発者ーン管理 ^/ い ^{so as} 脅

威ン

— _脅威 _ン _{ン演奏}

い上⼿くく当然

— _分析⼿法 (technique) _vs _脅威 _ー _ー (repertoire)

両⽅⾝う

— _攻撃者 _{う考え} _{実有害}

間違脅威探う

— _{攻撃脅威緩和} _キ _{要件関係性}

脅威⾒対応い場合要件⾒直

利⽤者判断ゆあ

(13)

it’s time to dive in and threat model!

脅威ンう！

TM本勉強会 脅威分析研究会 SIGSTA Chapter 0 intro

Threat Modeling

第0章 イン ダ ション

久保 正樹

JPCERT ー ー ン ンター

2016 年3⽉30⽇

＠脅威分析研究会

TM 本 ついて

Threat Modeling: Designing for Security

— 著者：Adam Shostack

— 発⾏：2014年2⽉17⽇ Wiley 社 1 st ed.

— 書籍 ： http://threatmodelingbook.com/

中国語 翻訳 2015年 出

Bruce Shneier ⽒絶賛

—“Probably the best IT security book of the year is Adam

Shostack's Threat Modeling”

Microsoft Press TM 本 第２版 い

著者 Adam Shostack さん

経歴

CVE ⽴上 ⽴役者 (1997 年 )

MS 時代

— Microsoft SDL Threat Modeling Tool 開発

— ーム Eleavation of Privilege 開発

現在 ベンチ ー起業家 活動

http://www.homeport.org/~adam/

“Threat Modeling Lessons from Star Wars”

— BruCON 2014 基調講演 ター ー ⾝近 例 引

脅威 ン 紹介

脅威モ リン と

”In short, threat modeling is the use of abstractions to aid

in thinking about risks.”

2 種類

— 分析対象 (what you’re building)

— 脅威 (what can go wrong)

⾔葉の整理 (ISO/IEC 27000:2016)

— 脅威 (threat)

potential cause of an unwanted incident, which may result in

harm to a system or organization

— (risk)

effect of uncertainty on objectives

—objective: result to be achieved

ん ため 脅威モ リン す

早期 脆弱性 (security bugs) 発⾒

— い製品 開発 市場 提供

ム 必要 キ 要件 く理解

— 要件 ビ 上現実的 別問題

他 ⼿法 発⾒ い問題 発⾒ 解決

—ex) ー 認証機構 不在 ー 分析 ⾒ い

— à 逆 いえ 脅威 ン 他 ⼿法

問題 ー い

想定読者

複雑 技術 作 運⽤ ⼈

— ソ 開発者

— ム管理者

— キ ン ニ

⼀応下 う 位置 う

— 本書 前半 向

— 後半 キ ン ニ 向

本書 ら 得ら

全般

— 脅威 ン ⼿法 適⽤

キ 開発 配備

— キ 上 妥協 (tradeoff) 仕⽅

許容 く い場合 あ

場合 考慮・評価 うえ 適切 妥

協

ソ 開発者 品証 PM

— 設計上 問題 発⾒ 対応 ⽅法

ム ーキ チ 運⽤ 管理

— ム 設計 ンポー ン 選定上 脅威 対応

— ム ー ビ 組織内 ⼈ ⾏動 関 考

え⽅ ⾒直

本書 ら 得ら

キ ン ニ

— 脅威 ン 体系 ⽅法 学 ⽣産性 上

— 脅威 ン い ⾃明 思 い

実 う い 正 いわ い 学ぶ

ソ 妥協 (tradeoff) 産物

— 妥協 世 中 動 い

良い妥協 いソ 作

TM本勉強会脅威分析研究会 SIGSTA Chapter 0 intro

第0章インダション

久保正樹

JPCERT _ー _ー _{ンンター}

2016 _年3⽉30⽇

TM _{本ついて}

— 発⾏：2014年2⽉17⽇ Wiley 社 1 ^st ^ed.

— _書籍 _： http://threatmodelingbook.com/

中国語翻訳 2015年出

Bruce Shneier _⽒絶賛

Microsoft Press TM _{本第２版} _い

CVE _⽴上 _⽴役者 (1997 _年 )

MS _時代

— Microsoft SDL Threat Modeling Tool _開発

現在ベンチー起業家活動

— BruCON 2014 _基調講演 _ター _ー _{⾝近例引}

脅威ン紹介

脅威モリンと

2 _種類

— _脅威 (what can go wrong)

んため脅威モリンす

早期脆弱性 (security bugs) 発⾒

— _{い製品開発} _{市場提供}

ム必要キ要件く理解

— _{要件ビ} _上現実的 _別問題

他⼿法発⾒い問題発⾒解決

—ex) _{ー認証機構不在} _{ー分析⾒} _い

— _à _{逆いえ} _脅威 _ン _{他⼿法}

問題ーい

複雑技術作運⽤⼈

— _ソ _開発者

— _ム管理者

— _キ _{ンニ}

⼀応下う位置う

— _{本書前半} _向

— _後半 _キ _{ンニ向}

本書ら得ら

— _脅威 _ン _⼿法 _適⽤

キ開発配備

— _キ上妥協 (tradeoff) 仕⽅

許容くい場合あ

場合考慮・評価うえ適切妥

ソ開発者品証 PM

— _{設計上問題発⾒} _対応 _⽅法

ムーキチ運⽤管理

— _{ム設計} _{ンポーン} _{選定上脅威対応}

— _ム _{ービ} _{組織内⼈⾏動関} _考

え⽅⾒直

本書ら得ら

キンニ

— _脅威 _ン _体系 _{⽅法学} _{⽣産性上}

— _脅威 _ン _い _⾃明 _思 _い

実うい正いわい学ぶ

ソ妥協 (tradeoff) 産物

— _{妥協世中動} _い

良い妥協いソ作

4 _{つスップら} _{フームワー}

脅威ン ¹ 活動いう独⽴

ーあ構成活動

1. _ム

2. _脅威

探 ^3. ^対応 ^脅威 ^4. ^有効性 ^検証

4 _{つスップら} _{フームワー}

1. _{作う} _い _？

ü _ム _化

2. _完成 _{問題起} _う _？

ü _使 _{脅威⾒}

3. _起 _{う問題} _う対応 _？

ü _{脅威対応}

4. _{分析うくい} _？

ü _脅威 _ン _{網羅性効果検証}

本書構成

Part I _う

— _脅威 _ン _{導⼊ソ} _化⼿法

Part II _{脅威⾒}

— _{脅威⾒} _⼿法 _ー pro/con

Part III _{脅威管理対応}

— _⾒ _{脅威管理} _{対応戦略対応} _技術

Part IV _特定 _ー分野 _脅威 _ン

— _{ー管理暗号}