2.5K Views
July 11, 24
スライド概要
脅威モデリングナイト#2で共有した、脅威モデリング研究会のフィードバック資料です。
11 JULY 2024 Threat Modeling Night #2 in Tokyo
脅威モデリング研究会 フィードバック
Feedback Haya / Hayapi 自己紹介 toC事業の会社のITセキュリティ部門 に所属。エンジニア→コーポレート IT(セキュリティ兼務)→セキュリティ 専任(イマココ)。本業では戦略、ガバナン ス、マネジメント、教育、脆弱性管 理の領域や、ゼロトラストの思想を ベースとした社内アーキテクチャの設 計・実装etc、組織に必要なセキュリ ティの取り組みはなんでもやる
Feedback 昨日、研究会と題して、 変則的(?)なアプローチで 脅威モデリングをやってき ました
Feedback 目指したい世界 脅威モデリングを共通言語として、 セキュリティエンジニア、経営陣、 事業部、開発者がセキュリティにつ いてディスカッションできる世界を 目指したい
やったこと
Feedback [アイスブレイク] 企業の設定を考えよう!
Feedback 事業にとって発生したら 困る脅威を洗い出そう!
Feedback DFDを書く(とりあえず)
Feedback 脅威が発生する可能性(= 脆弱性の連鎖)を洗い出す
Feedback 対策を講じる!
感想
Feedback [感想1] アイスブレイクしてよかっ たーーーーー 細かく事業の設定したのは良かった(ワー クショップ固有の話 会社規模や事業規模、事業ドメインが、後 続の脅威の洗い出し・順位付けに影響して その後のリスク評価や対策でもこの設定が 判断を左右してた →自社でやるなら不要だけど、バックグラウン ドが違う者同士でやるときはかなり重要
Feedback 三者三様の会社設定になって面白かった
Feedback [感想2] 最初に、”発生したら困る 脅威と順番を考える”の、 良かった 時間的リソースは有限なので(現実でも ワークショップでも)、ディスカッション が発散しすぎないように方向性を共有でき るの良い →脅威と順番を考える=影響度を試算する
Feedback 1チームは脅威の洗い出しに時間をかけていたのが興味深かった
Feedback [感想3] “脆弱性の連鎖”で考えたの もよかった これまでは、1要素または2要素間のデータ の流れに注目しがち(私が でも、実際はどこかが侵害されても、守る べきものが侵害されていなければ=脅威が 顕現していなければセー 多層防御での対策も考案されて 一箇所に高価なソリューションを導入 するのではなく、比較的安価な対策を 各所に導入してた
Feedback リスク(赤)に対する多層防御(青)
Feedback “こういうかんじで試して みたいんだよね!” があれば、みんなで研究会 をやりましょう!
Thanks The next night is mid-September...?