脅威モデリングのフレームワーク

Security

一般的な脅威モデリングのステップ

  1. 範囲を定義する
  2. 脅威を特定する
  3. 環境を把握する
  4. 脅威を分析する
  5. リスクを軽減する
  6. 結果を評価する

STRIDE

STRIDE は Microsoft が開発した脅威モデリングフレームワークです。
6つの攻撃ベクトルにおける脆弱性を特定するために使用されます。

  • Spoofing: なりすまし
  • Tampering: 改ざん
  • Repudiation: 否認
  • Information disclosure: 情報漏えい
  • Denial of service: サービス拒否
  • Elevation of privilege: 権限の昇格

参考: Microsoft Threat Modeling Tool の脅威 | Microsoft Learn

PASTA

PASTA (Process of Attack Simulation and Threat Analysis) は OWASP によって開発され、VerSprite によってサポートされています。
リスクを中心とした脅威モデリングプロセスであり、7つのステージで構成されています。

  1. Define the Objectives: ビジネスとセキュリティの目的定義
  2. Define the Technical Scope: 技術的な範囲定義
  3. Decompose the Application: アプリケーション分解
  4. Analyze the Threats: 脅威分析
  5. Vulnerability Analysis: 脆弱性分析
  6. Attack Analysis: 攻撃モデリング
  7. Risk and Impact Analysis: リスクと影響の分析

参考: What is PASTA Threat Modeling? | VerSprite