Chapter 11 Threat Modeling Tools PAD

Chapter 11

Threat Modeling Tools ^{Chapter 11}

Threat Modeling Tools

2016/8/5

パナソニック アドバンストテクノロジー株式

会社

目次

 _概要

 _{一般的な使えるツール}

 オープンソースのツール

 _{商用ツール}

 _{まだ存在しないツール}

 _まとめ

概要

 本章では脅威分析を支援するツールを紹介

 良いモデルの作成や、流動的な作成を支援

 読みやすい、美しいドキュメント作成を支援

 脅威モデルが完全かどうかの確認を支援

 脅威モデルからの実用的なアウトプット作成を支援

 ツールは時として使いにくい

 何を埋めるべきかはっきりしないフィールドを持つツール

 あなたの脅威分析のスタイルが崩されるツール

 多少のトレードオフは避けがたい。本章は一般的なツールから説明し、より専門的なツール

の説明に進む

 _{少しネタばらし}

 ここで述べる各ツールは私自身使ったことがない

 いくつかは私自身がつくったもの

一般的な使えるツール (1/3)

 _{ホワイトボード}

• ホワイトボードなしの脅威分析は想像できない！

• 反復的な描画システムアーキテクチャに加え、ホワイトボードほど共同作業者への

即時性、柔軟性、可視性を提供する技術は見たことがない

• いい加減さがよい – 誰も細部に突っ込まないので、システムの実際の動作に議論

が集中できる

• 分散チームなら WebCam か仮想ホワイトボードが有用

 Office Suites

• Office も非常に有用

• Word は脅威を自由な形式で記録できる偉大なツールだ

• Excel は問題のトラッキングに使える

• Visio はホワイトボードの内容をより正確なドキュメントにするのに最適

一般的な使えるツール (2/3)

 バグトラッキングシステム

 バグトラッキングシステムは、脅威のトラッキングにも使うべき

 バグ票のタイトル ( 表題 ) の例は以下のとおり。タイトルの付け方が重要

• _脅威自身

– 「パスワードの再利用により、フロントエンドはなりすましの脆弱性が存在」

• _軽減策

– 「そのコンポーネントは軽減策が必要」

– バグ票の本文で、脅威の内容を説明すべし

• _{軽減策のテスト}

– 脅威の議論やチェックに時間を費やすよりも、「脅威に対するフロントエンドの脆弱性のテス

ト」のようにバグを記録すべき

• _{仮定の検証}

– 脅威分析で発見した仮定と、セキュリティ特性上依存するものへのフォローアップのために必

要

• _{トラッキングアイテム}

– トラッキングの価値がある何かを見つけたら、バグ票に記載せよ

一般的な使えるツール (2/ ３ )

 　・オープンになっているセキュリティバグがあるか

 　・オープンになっている threat modeling バグがあ

るか

 　・修正が残っている高優先度の threat modeling バ

グがあるか

 　・セキュリティ操作やワーニングダイアログなどで

エンドユーザに

 　　通知するリスクはどれだけあるか

 　・最大のビジネスリスクをどのような部門長が承認

するか。どの部門長が

 　　もっともリスクを承認しているのか

 バグトラッキングシステムの使い方

• オープンになっているセキュリティバグがあるか

• オープンになっている threat modeling バグがあるか

• 修正が残っている高優先度の threat modeling バグがあるか

• セキュリティ操作やワーニングダイアログなどでエンドユーザに通知

するリスクはどれだけあるか

• 最大のビジネスリスクをどのような部門長が承認するか。どの部門長

がもっともリスクを承認しているのか

オープンソースのツール

 TRIKE(OctoTrike)

 http://octotrike.org/

 元々は Smalltalk で書かれていたが、現在はスプレッドシートで実装

 現在はメンテされていない

 本書の 4 段フレームワーク ( システムのモデル化、脅威の発見、脅威

の対処、検証 ) にはフィットしない

 _SeaMonster

 https://sourceforge.net/projects/seamonster/

 _Eclipse ベースのアタックツリー、ミスユースケースのツール

 ノルウェー科学技術大学の学生が開発

 現在コードは利用可能だが、開発は 2010 年頃に放棄された模様

オープンソースのツール

 _{権限昇格ゲーム}

 https://www.microsoft.com/en-us/sdl/adopt/eop.aspx

 脅威分析の導入用に設計

 物理的な 74 枚のカードからなり、 STRIDE の名前がついた 6 つの山があり、ほ

とんどの山は 2 ～エースのカードからなる

 カードに記載された説明から、広く適用可能な脅威のインスタンスを見つける

 各カードは STRIDE に対応した脅威のインスタンスを持つ

• 例えば改ざんの 6 は「攻撃者はコードが存在するデータストアを書き換え可能」

 _遊び方：

1. 参加者やゲームの主催者が、モデル化されたシステムのダイアグラムを作成

2. 主催者がルールを説明

3. カードを配り、ゲーム開始

4. ターン毎に構成、改ざんの 3 から常に開始

商用ツール

 ThreatModeler

• データ要素、ルール、コンポーネントに基づく防御指向ツール。

• CAPEC を含む攻撃ライブラリ、 WASC の脅威分類、その他のセットを使う。コンポーネントのアタッ

クツリーを生成する

 Corporate ThreatModeler

• 脅威ツリーと OCTAVE をモデル化する。コンサルのためにデザインされたツール。ツールはフリーで

ダウンロード可能

 _SecurITree

• threat modeling ベースのアタックツリー生成ツールで、脅威ツリーの構築・管理が可能。レビューに

よると高評価

• 各ノードは、実行コスト、特性、技能などの指標を持つ。

• 攻撃者が得られるものや損害などの指標でツリーにフィルタをかけることができる。

 _Little-JIL

• プロセス記述のための言語。プロセスモデルの選択とフォルトツリーの生成に使用される。

• 研究目的であればフリーで使用可能。

Microsoft SDL Threat Modeling Tool

 _{作業の手順}

1. Data flow diagram を作成する

2. モデルを解析する

3. _{環境を記述する}

4. _{レポートを作成する}

 _訳注

 配布されているものは脅威データベースが空なので使えない。データ

ベースに関するドキュメントも貧弱。 MS の高橋さんいわく「わから

ないことはユーザグループで聞いてね」

まだ存在しないツール

 _{モデル作成の自動化}

 _{脅威の識別の自動化}

この２つはまだ存在しない

まとめ

 脅威モデリングのための多種多様なツールが利用可能

 ホワイトボード、バグ追跡システムなどの汎用ツールは非常に役に立つ

 ワードプロセッサ、スプレッドシート、および作図ツールなどのツールも有用

 また、専門的な脅威モデリングツールの様々な利用可能

• マイクロソフトの Elevation of Privilege 、 SDL 脅威モデリングツール

• 他にも、あなたの努力を助ける商用およびオープンソースのツールがある

 モデルの作成や脅威の識別を自動化できるツールがほしい

• それらは新たな脅威を見つけられないかもしれないし、開発プロセスで使用するには手遅

れかもしれないし、高価になるかもしれない。