脅威モデリングってなに?

19.7K Views

May 08, 25

スライド概要

profile-image

CITとセキュリティなんでも見る人 / I love technologies and security, Spider-Man, Marvel & DC heroes and lovely things.

シェア

またはPlayer版

埋め込む »CMSなどでJSが使えない場合

(ダウンロード不可)

関連スライド

各ページのテキスト
1.

脅威モデリングってなに? Threat Modeling Night #9

2.

※本日の内容は個人的な見解です。所属する組織や団体とは無関係です。

3.

1. はじめに

4.

改めて、自己紹介

5.

hayapi 組織に必要なセキュリティの取り組みをなんでもやる人 コーポレートIT / コーポレートセキュリティ ガバナンス、設計、実装、運用なんでも! 元・システム開発者(設計〜実装〜運用) 脅威モデリング愛好家 趣味は、MCUを観ること、Nintendo Switch 2の抽選に参 加すること @yo_hayasaka

6.

よくある質問や疑問

7.

画期的な手法? / 網羅的にできる? ベンダ vs 社内? / 誰がやる? リスクアセスメント? / 脅威インテリジェンス?

8.

今日話すこと

9.

脅威モデリングって何をするの? なぜ組織としてやるのか? 最初の一歩はどう踏み出す?

10.

想定している聴講者

11.

興味はあるけど、何をするのかピンとこない人 やってみたいけど、何から始めれば良いか分からない人 脅威モデリングについて、改めて再確認したい人

12.

今日のゴール

13.

脅威モデリングが何なのかをイメージできる 「あの人と試してみよう!」と最初の一歩が見える

14.

2. 脅威モデリングって 何をするの?

15.

基本的な流れ

16.

ステップ1:対象を理解する (Understand) 何を、どの範囲でやる? 図を描く

17.

ステップ2:脅威を特定する (Identify) 「困ること」は? 誰が、どうすると、何が起こる?

18.

ステップ3:優先順位をつける (Prioritize) どれからやる? 影響度 x 発生しやすさ

19.

ステップ4:対策を検討する (Mitigate) どう防ぐ?どう減らす? コストや運用も考慮

20.

このステップ1~4を反復的に繰り返す

21.

あれ? これってセキュリティマネージャーが 日々の仕事でやっていることでは???

22.

たぶんそう

23.

セキュリティマネージャーが持つスキル

24.

システム理解 / 図の読み書き ビジネス価値 / 情報資産理解 脅威 / 攻撃知識 対策知見 法規制 / コンプライアンス リスク評価

25.

ということは、

26.

脅威モデリングのプロセス自体は、 「これまでにも存在していたもの」ということ

27.

3. なぜ組織としてやるのか?

28.

セキュリティとプライバシーに関する課題に 組織内の多様な視点を持ち込んで取り組むため

29.

一人でやる脅威モデリングの限界

30.

視点の偏り: 一人の知識や経験に基づいた視点になりがち 情報の不足: システムの詳細や最新の実装状況を全て把握するのは困難 対策の実行力: 対策の実行には、開発チームなどの協力が不可欠

31.

で、社内にはどんな人たちがいるんだっけ?

32.

組織内の様々な役割の人たちの例

33.

システムアーキテクト・設計者・開発者 図の読み書き システム理解

34.

経営者・事業責任者・プロダクトマネージャー ビジネス価値 情報資産理解

35.

セキュリティエンジニア・アナリスト・専門家 脅威 / 攻撃知識 対策知見

36.

法務担当者・リスク管理者 法規制 / コンプライアンス リスク評価

37.

改めて振り返ると 組織内の様々な役割の人たちは、 セキュリティマネージャーのスキルを 分散的に持っていたりしませんか???

38.

しかも本業にしている人たちなので むしろセキュリティマネージャーよりも 深い知見とスキルと経験を持ってる

39.

この人たちがコラボレーションすれば より高いレベルで、組織全体で取り組めそうでは?

40.

コラボレーションによる効果

41.

理解の共通化 「同じ図」を見て認識を合わせる

42.

対話の促進 「同じ言葉」で話せるようになる

43.

スキル結集による発見 多様な視点からリスク/対策を見つける

44.

不安の解消 「なんとなく」を「具体的なリスク」に

45.

次のアクションにつながる 次に誰と一緒にやれば良いのか見えてくる

46.

4. 最初の一歩はどう踏み出す?

47.

コンセプト

48.

「小さく」「シンプルに」「対話の場を作る」

49.

最初の一歩

50.

1. 対象を「超」小さく絞る 2. 「不安を共有できる仲間」を誘う 3. 「簡単な図」を「一緒に」書く 4. 「素朴に」聞いてみる 5. アイデアをメモする

51.

まとめ

52.

最初の一歩は 「小さな対象」で 「不安を共有できる仲間」と 「一緒に図を書いて話す」こと

53.

5. 最後に

54.

よくある質問や疑問への回答 (個人的な意見)

55.

Q: 画期的? / 網羅的? 銀の弾丸ではない 網羅性より対話が重要

56.

Q: ベンダ vs 社内? / 誰がやる? 社内メンバーがやることに意味がある システムのプライバシー、安全性、セキュリティを懸念するすべての人 by Threat Modeling Manifesto

57.

最後に。気を付けたいこと

58.

脅威モデリングは「道具」 使うことに固執しない 他の道具も検討 やること自体を目的化しない!

59.

Thank you