継続的なセキュリティ対策をするために脅威分析をしました
この記事では、PLAIDのKARTEというシステムの脅威分析をした話について書いています。 脅威分析とは、アプリケーションやシステムなどが直面する可能性のあるすべての脅威を明らかにして、その脅威のリスクを相対的に把握するために行うことを言います。 脅威とはリスクを発生させる要因のことで、クロスサイトスクリプティングなどの脆弱性を思い浮かべるとわかりやすいです。 たとえば、STRIDEと呼ばれる脅威モデリングの手法では、6種類の脅威をカテゴライズしています。 Spoofing(なりすまし) - 第三者が別のユーザーになりすます Tampering(改ざん) - データを改ざんする Repudiation(否認) - ログの消去により証拠隠滅を図る Informati…
Security Team