今月は先月のMonthly Researchで示した脅威分析の流れのなかの「脅威の洗い出し」にフォーカスし、STRIDEをより適用しやすく改良した手法についてご紹介致します。ここで紹介する内容はAdam Shostack氏著「Threat Modeling: Designing for Security」基にしています。 また、別の脅威分析手法として、ソニーデジタルネットワークアプリケーションズの松並勝氏による脅威分析手法についてもご紹介します。 図 1 脅威分析の流れ 脅威の洗い出し では、まず脅威の洗い出しの手法として前回紹介したSTRIDEを具体化した2つの派生手法についてご紹介します。 STRIDE-per-Element STRIDE-per-Elementとは、DFDの要素すべてに対してSTRIDEを適用し、脅威を導き出す手法です。ここで言う要素とはプロセスだけでなくデータフロ
![Monthly Research 「STRIDEの変化形およびセキュリティ要件で導き出す脅威分析手法」│セキュリティ・リサーチのFFRI(エフエフアールアイ)](https://cdn-ak-scissors.b.st-hatena.com/image/square/1ab7e96ba3a80778484a77d3c9934ef37455f55f/height=288;version=1;width=512/http%3A%2F%2Fwww.ffri.jp%2Fassets%2Fimages%2F%2Fblog%2F201611%2F20161111-3.png)