脅威のモデル化のセキュリティの基礎

脅威モデリングは、システム、アプリケーション、ネットワーク、サービスをセキュリティで保護するための効果的な方法です。 これは、開発ライフサイクルの早い段階でリスクを軽減してセキュリティ目標を達成するのに役立つように、潜在的な脅威を特定し、推奨事項を提供するエンジニアリング手法です。

データフロー ダイアグラムはシステムをグラフィカルに表現したものであり、各要素、その対話および役に立つコンテキストを指定する必要があります。

要件を満たすのに十分なコンテキストを提供するデータフロー ダイアグラム深度レイヤーに関して一部の当事者の合意が得られない場合、脅威モデルは複雑になる可能性があります

脅威モデリングは、脅威と、リスクを軽減または除去する方法を特定するのに役立つ効果的な手法です。 まず、何を保護する必要があるか、あるいは誰から保護する必要があるかに重点を置くかを決定します。

脅威のモデル化により、脅威モデリング フレームワークを使用して潜在的な脅威の一覧を生成して、対応するセキュリティ制御を使用してリスクを軽減または排除する方法を見つけることができます。

脅威モデリングでは、脅威と、リスクを軽減または除去する方法のリストが提供されますが、優先順位は自動的に付けられません。 また、種類と機能に基づく複数層セキュリティ制御に関する推奨事項はありません。

任意のキャンバス (物理または仮想) を使用して、データ フロー ダイアグラムを作成できます。 Microsoft のエンジニアは、脅威モデリング体験に役立ついくつかのツールを推奨しています。