脅威モデリングのフレームワーク
一般的な脅威モデリングのステップ
- 範囲を定義する
- 脅威を特定する
- 環境を把握する
- 脅威を分析する
- リスクを軽減する
- 結果を評価する
STRIDE
STRIDE は Microsoft が開発した脅威モデリングのフレームワークです。
6つの攻撃ベクトルにおける脆弱性を特定するために使用されます。
- Spoofing: なりすまし
- Tampering: 改ざん
- Repudiation: 否認
- Information disclosure: 情報漏えい
- Denial of service: サービス拒否
- Elevation of privilege: 権限の昇格
参考: Microsoft Threat Modeling Tool の脅威 | Microsoft Learn
PASTA
PASTA (Process of Attack Simulation and Threat Analysis) は OWASP によって開発され、VerSprite によってサポートされています。
リスクを中心とした脅威モデリングプロセスであり、7つのステージで構成されています。
- Define the Objectives: ビジネスとセキュリティの目的定義
- Define the Technical Scope: 技術的な範囲定義
- Decompose the Application: アプリケーション分解
- Analyze the Threats: 脅威分析
- Vulnerability Analysis: 脆弱性分析
- Attack Analysis: 攻撃モデリング
- Risk and Impact Analysis: リスクと影響の分析