Threat Modeling Appendix A PAD

Threat modeling : Appendix A

役に立つツール

次の２つの問いに答えるための様々な観点を提供する

What’s your threat model?

What are your assets?

パナソニックアドバンストテクノロジー ( 株 )

阿部 敏久

What’s Your Threat Model? _に対する

共通の答え

3 つのアクセスレベルがある

– マシンへのユーザーレベルのアクセス権を持つ

ユーザー

– マシンに管理者レベルのアクセス権を持つユー

ザー

– マシンまたはサイトへの物理的なアクセス権を持

Network Attackers

• ネットワークを経由して攻撃する良いポジションにいる攻撃者は

、以下のものが挙げられる

– Eve or Mallory ( 既存のソフトウェアを使う、新しいソフトウェアを作

る )

• Eve: 盗聴者  (eavesdropper) 。たいてい受動的な攻撃者である。

• Mallory : 邪悪な攻撃者  (malicious attacker)

– h ttp s://ja.w ikip ed ia.org /w iki/アリスとボブ 典型的なキャラクターたち

– ISP

– あなたのクラウドプロバイダ、またはそれらを侵害した誰か

– コーヒーショップやホテルのネットワーク

– Mukhbarat* または NSA (* アラブ圏の諜報機関 )

– 侵入されたスイッチまたはルータ

– 接続のもう一方の端にあるノード

– 危険にさらされている信頼ノード

Physical Attackers

• _{物理アクセスの種類}

– 無期限にマシンを所有できる

• 機器を盗む / 警察・国境管理機関に接収される

– 有期限だけど、無制限な物理アクセスができる

• ５分間だけ / １時間

• 管理人 / ホテルのメイド (制服さえ着ればよい )

– 制約アクセスしかできない

• USB を挿せる / キーロガーを設置できる / Bluetooth 経由の

アクセスができる

– _忍者

– パイレーツ（武装してる）

• ネットワークについても同様の分類ができる

– 無制限にネットワークにアクセスできる / 時間制限アクセス

/ 物理的・空間的に制約アクセス

Attacks against People

• “rubber hose” cryptanalysis: 秘密情報を聞き出すための強

要や拷問

• システム内の個人（システム管理者）の悪意

• _{対策は途方もなく高価}

• 秘密諜報員が使うスパイさせるための４つの方法（シェー

ン、 2008 ）

– _お金

– _{イデオロギー}

– _強制

– _エゴ

• 家族を誘拐、餌としてのセックス。

• あなたが緩和することができる脅威に焦点を当てることを忘れ

ないでください。

Supply Chain Attackers

• 使用している環境に技術を提供するサプライチェー

ンを通して攻撃することが可能

• _{システム設計者}

– あなたのシステム or あなたシステムに関連するコンポー

ネントの設計者

• _{システムビルダー}

– あなたの widget を組み立てる中国にある工場

– 工場に部品を供給するサプライヤ

– 工場に機器を供給するサプライヤ

• _{デリバリーチェーン}

Privacy Attackers

• 以下の人が攻撃者になりうる

– _{マーケティング担当者}

• システムデザイナー、マーケット担当者に共通ライブラリを売

る業者

– _{データブローカー}

– _{ストーカー}

– _{個人情報泥棒}

– NSA またはその他の国の諜報機関

– _警察

• 民主主義が期待するような法律によって制約されているが、そ

うでない場合もある。

– これらにリンクするデータベース

Non-Sentient "Attackers"

• 無自覚の攻撃者は、システムの機密性、完全性を攻

撃するものではないが、可用性に影響する可能性が

ある

• お住まいの地域への自然災害

• _{公衆衛生災害}

The Internet Threat Model

• 第 17 章で説明したように、 IETF は、新しいイン

ターネットプロトコルの設計のための標準的な脅威

モデルを適応しています。このドキュメントは、組

織の脅威モデリング手法を設計することができる方

法です。

• 2013 年エドワード・スノーデンの暴露がこのモデ

ルを変更する可能性があることに注意してください

。

The Internet Threat Model _（続き）

• Rescorla and Korver, Security Considerations Guidelines (RFC

3552) https://tools.ietf.org/html/rfc3552

– Guidelines for writing RFC Text on Security Considerations

– 以下は 3. The Internet Threat Model からの抜粋

• インターネット環境は、かなりよく理解されている脅威モデルを持っています。

• 一般的に、我々は、プロトコル交換に従事するエンドシステムはそれ自体が侵

害されていないと仮定する。

• エンドシステムの 1 つが侵害された場合の攻撃からの保護は非常に困難です。

• しかしながら、これらの状況下で行われる損傷の程度を最小にするプロトコル

を設計することは可能である。

• 対照的に、攻撃者は、エンドシステムが通信する通信チャネルをほぼ完全に制御

していると仮定します。

• これは、攻撃者がネットワーク上の任意の PDU （プロトコルデータユニット）

を読み取ることができ、偽造パケットをワイヤに検出不能に削除、変更、または

注入することができることを意味します。

• これには、信頼できるマシンからのパケットを生成できることが含まれます。

したがって、通信したいエンドシステム自体が安全であっても、インターネット

環境は、実際にそのシステムからのものであると主張するパケットは保証されま

せん

Assets

2 章 (Strategies for Threat Modeling) _と

19 _章 (Architecting for Success) _{で議論した、}

asset-centric modeling のリスクと困難さを考慮し

たあとに

この章を使って下さい。

Computers as Assets

• 資産としてのコンピュータに様々なタイプのラベル

を付けることができます。

– 個人が使用するコンピュータ

• このコンピュータ / ノートパソコン / 携帯電話 /

iPad/Kindle/Nook

– _サーバー

• Web サーバー / e-mail サーバー / データベース・サーバー

– _{セキュリティシステム}

• Firewall / VPN コンセントレーター / ログサーバー

– _{機能で分類}

• 開発システム / 金融システム / 生産システム

People as Assets

• あなたは人々を攻撃の対象となる資産と考えることがで

きます

• グループ分けは以下の通り

– エグゼクティブ / エグゼクティブアシスタント

– _{システム管理者}

– _販売員

– _{施設管理スタッフ}

– _{食品加工スタッフ}

– _{様々な階級の請負業者}

– _従業員

– _住民

– _移民

– _{マイノリティ}

– 障害とともに生きる人々

Processes as Assets

• 次のような工程を資産として考えることができる。

– 小切手 /現金の送付 ( 払い戻しを含む )

– 製品 /プロダクトキーの出荷

– ソフトウェアや製品の開発 /デプロイ

– 製造 ( 製品のインテグリティ、労働者の安全）

– _雇用

Intangible Assets _{（無形資産）}

• 無形資産をここに挙げる理由は、バランスシートに

記載されるから。しかし、これらの資産とあなたが

緩和できる脅威の間には隔たりがあります。

• _{無形資産の例}

– _{評判またはのれん}

– _知的財産

– _株価

– _{運用スタッフの注意}

– _{従業員の士気}

Stepping-Stone Assets

• _{認証データ}

– ユーザー名 /パスワード

– 物理的なアクセス・トークン

– アクセストークンとしての携帯電話

• _{ネットワークアクセス}

• 特定のコンピュータへのアクセス