Threat Modeling Night #2 in Tokyo_Feedback

2.3K Views

July 11, 24

スライド概要

脅威モデリングナイト#2で共有した、脅威モデリング研究会のフィードバック資料です。

profile-image

CITとセキュリティなんでも見る人 / I love technologies and security, Spider-Man, Marvel & DC heroes and lovely things.

シェア

またはPlayer版

埋め込む »CMSなどでJSが使えない場合

関連スライド

各ページのテキスト
1.

11 JULY 2024 Threat Modeling Night #2 in Tokyo

2.

脅威モデリング研究会 フィードバック

3.

Feedback Haya / Hayapi 自己紹介 toC事業の会社のITセキュリティ部門 に所属。エンジニア→コーポレート IT(セキュリティ兼務)→セキュリティ 専任(イマココ)。本業では戦略、ガバナン ス、マネジメント、教育、脆弱性管 理の領域や、ゼロトラストの思想を ベースとした社内アーキテクチャの設 計・実装etc、組織に必要なセキュリ ティの取り組みはなんでもやる

4.

Feedback 昨日、研究会と題して、 変則的(?)なアプローチで 脅威モデリングをやってき ました

5.

Feedback 目指したい世界 脅威モデリングを共通言語として、 セキュリティエンジニア、経営陣、 事業部、開発者がセキュリティにつ いてディスカッションできる世界を 目指したい

6.

やったこと

7.

Feedback [アイスブレイク] 企業の設定を考えよう!

8.

Feedback 事業にとって発生したら 困る脅威を洗い出そう!

9.

Feedback DFDを書く(とりあえず)

10.

Feedback 脅威が発生する可能性(= 脆弱性の連鎖)を洗い出す

11.

Feedback 対策を講じる!

12.

感想

13.

Feedback [感想1] アイスブレイクしてよかっ たーーーーー 細かく事業の設定したのは良かった(ワー クショップ固有の話 会社規模や事業規模、事業ドメインが、後 続の脅威の洗い出し・順位付けに影響して その後のリスク評価や対策でもこの設定が 判断を左右してた →自社でやるなら不要だけど、バックグラウン ドが違う者同士でやるときはかなり重要

14.

Feedback 三者三様の会社設定になって面白かった

15.

Feedback [感想2] 最初に、”発生したら困る 脅威と順番を考える”の、 良かった 時間的リソースは有限なので(現実でも ワークショップでも)、ディスカッション が発散しすぎないように方向性を共有でき るの良い →脅威と順番を考える=影響度を試算する

16.

Feedback 1チームは脅威の洗い出しに時間をかけていたのが興味深かった

17.

Feedback [感想3] “脆弱性の連鎖”で考えたの もよかった これまでは、1要素または2要素間のデータ の流れに注目しがち(私が でも、実際はどこかが侵害されても、守る べきものが侵害されていなければ=脅威が 顕現していなければセー 多層防御での対策も考案されて 一箇所に高価なソリューションを導入 するのではなく、比較的安価な対策を 各所に導入してた

18.

Feedback リスク(赤)に対する多層防御(青)

19.

Feedback “こういうかんじで試して みたいんだよね!” があれば、みんなで研究会 をやりましょう!

20.

Thanks The next night is mid-September...?