Monthly Research 「STRIDEの変化形およびセキュリティ要件で導き出す脅威分析手法」│セキュリティ・リサーチのFFRI(エフエフアールアイ)
今月は先月のMonthly Researchで示した脅威分析の流れのなかの「脅威の洗い出し」にフォーカスし、STRIDEをより適用しやすく改良した手法についてご紹介致します。ここで紹介する内容はAdam Shostack氏著「Threat Modeling: Designing for Security」基にしています。 また、別の脅威分析手法として、ソニーデジタルネットワークアプリケーションズの松並勝氏による脅威分析手法についてもご紹介します。 図 1 脅威分析の流れ 脅威の洗い出し では、まず脅威の洗い出しの手法として前回紹介したSTRIDEを具体化した2つの派生手法についてご紹介します。 STRIDE-per-Element STRIDE-per-Elementとは、DFDの要素すべてに対してSTRIDEを適用し、脅威を導き出す手法です。ここで言う要素とはプロセスだけでなくデータフロ
Monthly Research 「脅威分析の役割と手法の紹介」 - 株式会社FFRIセキュリティ
近年の高度化するシステムにおいて、そのシステムに問題があると情報流出や不正利用などの被害が発生する可能性があります。 また、一度リリースしたシステムに対する問題の修正は容易なことではありません。 そこで、システムの要件定義・設計時に脅威分析を行い、脅威を洗い出し対処することによって問題を未然に防ぐことに繋がります。 今回のMonthly Researchではシステムに存在する脅威を見つけ出す作業である脅威分析についてご紹介します。 脅威分析とは、開発しているシステムのセキュリティ上のリスクを把握するための作業です。開発段階で見つけ出された脅威に対処することによってリリース後のセキュリティに起因する問題を未然に防ぐことに繋がります。 また、脅威分析は開発時に機能仕様書や設計書などを利用して行うため、脆弱性検査やペネトレーションテストでは発見しにくい問題も見つけることができます。そのため、近年
Monthly Research 「Microsoft Threat Modeling Toolの利用例」 - 株式会社FFRIセキュリティ
分析対象のシステムの概要 一般的なネットワークカメラシステムに対してMicrosoft Threat Modeling Toolを用いて脅威分析を行った結果を紹介します。 まず、Threat Modeling Toolを利用して分析対象システムのDFDを作成しました。(図1) このシステムでは、Webサーバーを中心に、ネットワークカメラ(図中ではDeviceと表記)と、データベースサーバーが接続されているという構成になっています。 図1 ネットワークカメラシステムのDFD 結果の分析 DFDを作成しAnalysis Viewを表示するとThreat Modeling ToolがSTRIDEに基づいて機械的に脅威が導出されます。図2がThreat Modeling Toolによって洗い出された脅威の一覧です。 図2 Threat Modeling Toolによって洗い出された脅威一覧 得られ
「iPhone 6s」で電源が突然落ちる問題、原因は「空気」だった
一部の「iPhone 6s」が突発的にシャットダウンする問題について、Appleは空気が原因だとした。 Appleは、同社中国語ウェブサイトのサポートページに掲載した説明の中で、この問題は「バッテリ部品がバッテリパックに組み込まれる前に、調整された周囲の空気に必要以上に長い時間さらされたこと」が原因だと突き止めたと述べている。 それが原因となって、「バッテリが通常よりも速く劣化し、予想外のシャットダウンが発生する」という。 Appleはまた、これが安全性の問題ではないことをはっきりと強調している。さらに、「iPhone」は、極端に低い気温など、特定の状況下で自動的にシャットダウンするよう設計されており、これは低電圧の状態から電子部品を保護する機能だと説明している。
異常検知本の読書メモ Part 1 - yasuhisa's blog
異常検知本を最近読み進めていたので、自分が知らなくて新しく勉強になったところのみメモ。 ホテリングの法による異常検知 異常度はマハラノビス距離で与えることができる サンプル数Nが次元数Mより圧倒的に多い場合はは自由度M、スケール因子1のカイ二乗分布に従う これによりカイ二乗分布で欲しい閾値(逆関数か対応表から)を決めておく 「カイ二乗分布の分散はであるため、精度よく異常検知をするためにはなるべく変数選択をするか部分集合毎にを計算するのがよい」と書いてあってナルホド感があった 単純ベイズ法による異常検知 naive bayesのところまぁ知ってるので飛ばす ベイズ決定則とネイマンピアソン決定則の関係のところは勉強になった ベイズ決定則は異常判定を強く抑制する傾向にあるので、既存の二値分類の実装をあまり深く考えずに異常検知に使うと異常標本精度が非常に低くなってしまうため注意が必要 近傍法による
電気工事士の資格を取ってコンセントやスイッチを改造しようぜ - Qiita
この記事は おうちハック Advent Calendar 2016 の3日目の記事です。 まえがき パナソニック(旧パナソニック電工(旧旧松下電工))の製品にこんなモノがあります。 _人人人人人人人_ > 壁からUSB! <  ̄Y^Y^Y^Y^Y^Y ̄ カッコイイですね。 ですよね。。。 他にもこんなモノがあります。 壁のスイッチをリモコンでON/OFFできる! 使ってみたくないですか!? 使ってみたいですよね。。。 しかし、これらの設置工事をするには、電気工事士(二種)の資格が必要です。 資格がないなら取得すればいいじゃない。 という話をします。 電気工事士の資格とは 簡単に言うと、ブレーカーを切ってからじゃないと感電しちゃいそうな工事をする場合に必要な資格です。 前述のUSBコンセントやリモコンスイッチなどの設置工事をする際はブレーカーを切ってからでないと危ないですよね。 コンセントか
正月の年賀状に!おすすめ毛筆フリーフォント16個 - 無料で使える日本語フォント投稿サイト|フォントフリー
今年も気づけば師走。 12月を終えると、年賀状のシーズンであるお正月がやってきます。中には年賀状を準備し始める方もいるのではないでしょうか。 そこで今回は、年賀状を書く際に宛名や挨拶文などで利用できそうな、毛筆を中心にしたおすすめフリーフォントをご紹介します。 商用利用可能なフォント、楷書体や行書体、漢字を含んだフォントまで、年賀状のサンプルの画像を掲載しながらご紹介します。 気に入ったフォントがあれば、ぜひダウンロードしてみてくださいね。 年賀状ぴったりの書体といえば!毛筆フォント 青柳疎石フォント 青柳疎石フォントは、細めで男性的な達筆な毛筆フォントです。 筆のかすれ具合が和風な味を出しています。 縦書きで使うのがおすすめです。 商用:OK ひらがな:◯ カタカナ:◯ 漢字:◯ ▷ 青柳疎石フォント 衡山毛筆フォント 衡山毛筆フォントは、筆のハライが美しく、縦の流れがきれいな毛筆フォン
3,000円以内で揃える!おすすめのカメラメンテナンスグッズ3選 - 略してとりてみ
2016 - 12 - 04 3,000円以内で揃える!おすすめのカメラメンテナンスグッズ3選 生活 生活-ライフハック カメラ、楽しいですよねぇ。 レビュー商品のブツ撮りをしたり、はたまた、綺麗な紅葉を撮影したり、さらには、旅行で訪れた先で思い出を写真として残したり。演奏動画の撮影にだって使えちゃいます。 最近では、「カメラ女子」なんてのも流行っているようで、以前よりデジタル一眼レフカメラやミラーレス一眼レフを手にする人が多くなったように感じますね。 さて、突然ですが、 「カメラのメンテナンス」 ってきちんとしてますか? カメラは借りにも 精密機器 なので、ぞんざいに扱ってしまうと 破損や故障を引き起こす恐れ があります。 特に、レンズの汚れは大敵。写真のクオリティや撮影結果にモロにダメージがきます。 僕は、メンテナンスを怠っていたせいで、当時所持していた一眼レフを1個ダメにしてしまいま
「知らないこと」を恐れないマインドセットが技術導入を加速する - メソッド屋のブログ
先日、米マイクロソフトの Redmond キャンパスで行われたマイクロサービスのハックフェストに2週間ほどサポーターとして参加してきた。 そこで気づいた日本との技術導入の差の秘密について気づきをブログに書き留めておこうと思う。 ハックフェストというのは、お客様のガチの環境もしくはそれに近い環境/テーマで行うハッカソンだ。 例えば DevOps の文脈であれば、自動化したら効率化されそうな部分に関して、マイクロソフトの製品チーム、エバンジェリストがサポートしながら、お客様自身が我々と一緒にハックをして、実際にお客様の環境を自動化してしまうようなイベントだ。 Hello Worldやチュートリアルレベルではないので、お客様の環境が本当に自動化されてリードタイムが短縮されたり、我々にとっても、現場の難しい問題を知り、それに対してソリューションを作ることができるので、スキルアップまでできるので私は
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
https://sozai.site/archives/829