第2章 脆弱性回避策とソフトウェア開発工程 脅威モデリング 脅威モデリングを行おう 脅威モデリングは、開発対象のソフトウェアがどのようなセキュリティ脅威にさらされており、攻略される可能性を持ちうるかを洗い出す活動である。潜在するセキュリティ脆弱性を上流工程で見つけ出すことによって、より効果的に脆弱性を排除することを狙う。 第10回情報セキュリティEXPO[春] プレゼンテーションスライド(PDF) 脅威モデリングはいつ行うか 脅威モデリングは、ソフトウェアの設計段階の比較的初期に行う。より具体的には、設計の概要がある程度落ち着いて、次の事項の見通しがはっきりしてきた時点で行う。 そのソフトウェアシステム全体はどのような構成要素を組み合わせて実現するか 外部との入出力はどのようなものがあるか データはどのように蓄積されるか ソフトウェアシステム内部をおおむねどのような形でデータが流れるか 脅