関連スライド
各ページのテキスト
脅威分析の実務への応用 はせがわようすけ https://utf-8.jp/
おことわり 社内の事情やお客様の事情をベースにしているため、話のかなり の部分が脚色されています けっこう根本的・本質的な部分や重要な部分、出された結論にも フェイクが含まれてます なので、話してる内容をそのままそっくりは受け止めないで! #脅威モデリング 脅威モデリングナイト in Tokyo #5
脅威分析おさらい 脅威分析とは 実際に被害が発生する前にシステムに影響を与える脅威や弱点となる脆 弱性、守るべき資産を整理しリスクを把握する 脅威分析の典型的な流れ ① システムの構成図をもとにデータや処理の流れ、保有資 産を可視化 ② ③ システムに対しての脅威を列挙 STRIDE Attack Library 各要素における脆弱性を検討 ④ ①資産と②脅威、③脆弱性からリスクを検討し 対応の必要性、優先度を決める #脅威モデリング DFD DREAD OWASP RRM 脅威モデリングナイト in Tokyo #5
脅威分析はしんどい! システムのDFDを描くのが一番しんどい※個人の感想です どういう粒度で各要素を切り分けるのか基準が不明瞭 基準がわからないので、先回りして要素ごとの脅威を何となく想 定しながら各要素を切り分けるこ とになってしまう そもそもDFDで表しにくいもの もたくさんある 既存システムにキャンペーン申し込みの機能 を追加するときのDFDの例 こんなきれいに図示できることは少ない #脅威モデリング 脅威モデリングナイト in Tokyo #5
やりたいことは「脅威分析」ではなく「リスクの把握」 脅威分析の最初の一歩がハードルになって頓挫し、何も得られな いくらいなら、ざっくりとでもリスクを把握できるほうがいいん じゃない? というのがスタート地点 加えて、セキュリティの「脅威」は攻撃者に限らないので、それも加 味して検討したいという動機 いわゆる「セキュリティ事故」も射程に入れて検討したい #脅威モデリング 脅威モデリングナイト in Tokyo #5
極端に簡略化された リスク分析の事例 #脅威モデリング 脅威モデリングナイト in Tokyo #5
メール添付 Googleドライブ移行のリスク分析 特定の顧客数社とメールでやり取りされている添付ファイルを Googleドライブ上での共有に変えることは可能かという担当部 門からの打診 やりたいこと 添付ファイルからGoogleドライブに切り替えることのリスクの相対的 な評価 効率面の効果については事業側判断に委ねる #脅威モデリング 脅威モデリングナイト in Tokyo #5
メール添付 Googleドライブ移行のリスク分析 特定顧客とメールでやり取りされる添付ファイルをGoogleドライ ブ上での共有に変えることは可能かという担当部門からの打診 条件 単一ファイルを相互に編集しながら何度もやり取り メールの添付ファイルは両社ともPPAP 多数社と同じようなやり取りがある業務の中で特定の数社だけ少し例外 的に(相互の)編集頻度が多い Googleワークスペースは弊社側で準備 #脅威モデリング 脅威モデリングナイト in Tokyo #5
メール添付 Googleドライブ移行のリスク分析 やったことをざっくりと: 攻撃よりも事故のほうが起こり得るという前提でリスクを評価 STRIDEを攻撃視点ではなく事故を中心とした脅威とみなす DFD等でいう構成要素は大幅に簡略化 構成要素ごとに「STRIDE観点での脅威」と「発生可能性」を当てはめ、リ スクの大きいものへの対抗策の有無を検討 #脅威モデリング 脅威モデリングナイト in Tokyo #5
メール添付 Googleドライブ移行のリスク分析 STRIDEに攻撃だけでなく事故も含める STRIDEは脅威を引き起こす「攻撃」という見方が強い※個人の感想です 攻撃だけが脅威ではなく、セキュリティ事故も脅威である 事故による被害もSTRIDEに含めて整理する試み STRIDE S なりすまし T 改ざん R 否認 I #脅威モデリング 意図しないファイルの編集や破壊 事故やミスに対しての追跡可能性 情報漏えい D サービス不能 E ファイル送受信で起こり得る事故 業務上必要なオペレーションが行えない 権限昇格 脅威モデリングナイト in Tokyo #5
メール添付 Googleドライブ移行のリスク分析 構成要素の大幅な簡略化 そもそもメールやGoogleドライブを個別要素にわけてコントロールで きるわけではない セキュリティ事故も脅威に含める → 事故を起こすのは人だ → 構成要 素に人間も含まれる これくらいの雑さでええやろ。 弊社 社員 #脅威モデリング 弊社 メール システム 顧客 メール システム 顧客 社員 弊社 社員 Google ドライブ 顧客 社員 脅威モデリングナイト in Tokyo #5
メール添付 Googleドライブ移行のリスク分析 従来通りメールで添付する時の脅威の評価 要 素 脅威 発生 可能性 対策・備考 弊 S メールアカウント乗っ取り 社 社 T 員 R - 低 I 送信先アドレス指定ミス 高 Chrome拡張、PPAP 添付ファイル指定ミス 高 添付ダウンロード取り消 しのシステム(導入済み) D 退職によるアドレス廃止 E 弊 S 社 メ T ー ル R シ I ス テ D ム E - 高 MFA 運用で対応済み 要 素 脅威 顧 S 客 メ T ー ル R シ I ス テ D ム E 発生 可能性 対策・備考 - 顧 S メールアカウント乗っ取り 客 社 T 員 R - 低 顧客責任 I 協力会社等への転送先ア ドレス指定ミス 高 顧客責任 協力会社等への転送時の 添付ファイル指定ミス 高 顧客責任 高 顧客責任 D メールアドレス失効 E - #脅威モデリング 脅威モデリングナイト in Tokyo #5
メール添付 Googleドライブ移行のリスク分析 Googleドライブ上で共有する時の脅威の評価 要 素 脅威 弊 S Googleアカウント乗っ取り 社 社 T 意図しない編集ミス 員 R アクセスログの不足 I 発生 可能性 対策・備考 低 MFA 中 対策なし:機密情報を誤って記載してしまう、無意識にファイルを誤編集(破壊)する等に気づくことは難しそう 中 GWSのアクセスログでは情報が不足 共有アドレス指定ミス 高 対策なし:共有先のメールアドレスの指定を間違えたことに気づくことは難しそう 共有方法の設定ミス(URL共有してしまう) 高 URL共有の禁止をGWS側で設定 中 URL共有の禁止をGWS側で設定 低 顧客責任 中 対策なし:顧客が誤ってファイルを編集したときに弊社側でそれに気づくことは難しい 中 Google docsの編集履歴 協力会社等への転送先アドレス指定ミス 中 対策なし: 協力会社にはメールで転送となるため誤送信が避けられない 協力会社等への転送時の添付ファイル指定ミス 中 対策なし: 協力会社にはメールで転送となるため誤送信が避けられない 中 対策なし:顧客側GWS設定によっては弊社側Gドライブへアクセス不可 D E - Google S T - ド R ラ イ I 共有URLの漏えい ブ D E 顧 S Googleアカウント乗っ取り 客 社 T 意図しない編集ミス 員 R アクセスログの不足 I D Googleアカウント利用不可 E #脅威モデリング 脅威モデリングナイト in Tokyo #5
メール添付 Googleドライブ移行のリスク分析 全体として対策のとりにくいリスクが増える 意図しない誤編集が発生し得るが、それを防ぐことや早期に気づくこと、 後から追跡することが難しい 共有先メールアドレスの間違いにメール以上に気づきにくい(気がする) その他様々な理由もあり、本件は従来通りメールでの添付ファイ ルのやり取りを維持している模様 #脅威モデリング 脅威モデリングナイト in Tokyo #5
メール添付 Googleドライブ移行のリスク分析 リスク分析を実施してみて これくらい簡略化したものだと1-2hで終えられる そもそも構成要素の洗い出しも要らなかった感 事故も踏まえたフレームワーク誰か知りませんか? 長谷川が一人でやってしまった。誰かを巻き込めばよかった 後日談 社内の別の運用ルール変更の検討過程でもSTRIDEで事故に対する脅威 を簡易的に分析(3h程度) 該当部門の担当者も巻き込んで実施しました #脅威モデリング 脅威モデリングナイト in Tokyo #5
質問・ツッコミ・コメント・フィードバックあればぜひ! @hasegawa.bsky.social #脅威モデリング 脅威モデリングナイト in Tokyo #5