Head Topics

脅威モデリングの極意 知っておくべき3つのフレームワークとその使いどころ:Cybersecurity Dive

会員限定 ニュース

脅威モデリングの極意 知っておくべき3つのフレームワークとその使いどころ:Cybersecurity Dive
セキュリティCybersecurity Dive
  • 📰 topitmedia
  • ⏱ Reading Time:
  • 34 sec. here
  • 4 min. at publisher
  • 📊 Quality Score:
  • News: 24%
  • Publisher: 51%

Gartnerのリスク管理戦略の専門家が、サイバー脅威から組織を保護するのに役立つ3つの脅威モデリング手法とその使いどころ、使う際の心構えを解説した。

STRIDEとLINDDUNの方法論は、データフロー図によってシステムをモデル化し、脅威がシステムに影響を与える可能性のある箇所を特定し、それらの脅威の軽減のために、どこに対策を講じるべきかを決定することによって成り立つ。 セキュリティ におけるデシジョンツリーは、攻撃者中心の脅威モデリング手法であり、ツリーの構造を使って攻撃がどのように展開するかをモデル化する。攻撃シナリオは、攻撃の各段階で攻撃者が取り得る行動と、攻撃者に対抗するためにシステムができることをモデル化する。組織はリスク評価プロセスの特定のタイミングでこれらのフレームワークを使用し、脅威について広範かつ一貫した理解を得るべきである。これらのポイントは、初期システム設計やレガシーシステムのレビュー、戦略的なITやビジネスの変更など、システム進化のさまざまなフェーズに合わせるべきだ。

これらのフレームワークは、単独で使用することも、相互に補完する分析として使用することも可能だ。このプロセスは、「MITRE ATT&CK」やLockheed Martinの「Cyber Kill Chain」といったフレームワークによって定義された攻撃者の戦術や技術を取り入れることでさらに強化できる。しかし、脅威を意識した考え方を組織に浸透させるには、多様なテクニックが必要となる。そのうちの幾つかは非日常的な手法であり、以下に挙げる手法は脅威モデリングの技術の核心に迫るものである。Analogical thinking: ときには、身近なものと理解できないものとの間に関連性を見いだすことが重要である。そのような関連性は、新しく複雑な問題を理解する助けとなり、そのような問題の伝達にも役立つ

Model once, apply to many: 組織は通常、数百から数千のアプリケーションやシステムを活用している。考慮しなければならないのは、これらのシステムやアプリケーションが、あらゆる面で固有のものであるとは限らない点だ。1つの脅威モデルから得られた教訓が、複数のシステムやアプリケーションに適用できる可能性がある例えばビジネスロールは、モデル化されている内容にコンテクストを提供するのに役立ち、セキュリティロールは、脅威がどのように展開する可能性があるかについてのガイダンスを提供する。また、アーキテクトと開発者は、アプリケーションとインフラストラクチャのコンポーネントに関する洞察を提供する。

このニュースをすぐに読めるように要約しました。ニュースに興味がある場合は、ここで全文を読むことができます。 続きを読む:

topitmedia /  🏆 93. in JP

セキュリティ Cybersecurity Dive

日本 最新ニュース, 日本 見出し

Similar News:他のニュース ソースから収集した、これに似たニュース記事を読むこともできます。

サードパーティーベンダーへの侵害で、Cisco Duoの多要素認証コードが流出:Cybersecurity Diveサードパーティーベンダーへの侵害で、Cisco Duoの多要素認証コードが流出:Cybersecurity DiveCisco Duoを狙ったサイバー攻撃によって、法人顧客が使用していた多要素認証コードが流出した。影響を受けたCisco Duoの顧客は約1000社に及ぶ。
続きを読む »

OSSコミュニティーへの攻撃が加速? JavaScriptのプロジェクトで不審なメンテナーが暗躍:Cybersecurity DiveOSSコミュニティーへの攻撃が加速? JavaScriptのプロジェクトで不審なメンテナーが暗躍:Cybersecurity Dive連邦当局は、最近のXZ Utilsに対する攻撃キャンペーンとJavaScriptプロジェクトのメンテナーに対する新たな脅威活動との潜在的な関連を調査している。
続きを読む »

XZ Utilsの不正コード挿入問題の原因は、企業の“OSSタダ乗り問題”にあり?:Cybersecurity DiveXZ Utilsの不正コード挿入問題の原因は、企業の“OSSタダ乗り問題”にあり?:Cybersecurity Diveユーティリティーソフトウェア「XZ Utils」に不正アクセスを可能にする悪意あるコードが含まれていた問題について、CISAは声明を発表した。今回の事件はOSSコミュニティーのメンテナーにセキュリティ負担を押しつけていたことに起因するという。
続きを読む »

身代金の支払い禁止は“おとぎ話”か? 完全禁止派 vs. 禁止措置緩和派の論争:Cybersecurity Dive身代金の支払い禁止は“おとぎ話”か? 完全禁止派 vs. 禁止措置緩和派の論争:Cybersecurity Dive安全保障技術研究所はランサムウェアによる身代金の支払い禁止について非現実的だとして批判している。主張の背景には何があるのか。
続きを読む »

NVDは多くの課題を抱えて機能不全に陥っている 問題点を整理しよう:Cybersecurity DiveNVDは多くの課題を抱えて機能不全に陥っている 問題点を整理しよう:Cybersecurity DiveNISTが運営する脆弱性データベース「National Vulnerability Database」(NVD)は、過剰な負担によって機能不全に陥っている。この負債によってユーザーにはどのような不利益が生じるのか。問題点を整理した。
続きを読む »

Microsoft、脆弱性の開示に向けて業界標準の体系を採用 大改革がもたらすメリット:Cybersecurity DiveMicrosoft、脆弱性の開示に向けて業界標準の体系を採用 大改革がもたらすメリット:Cybersecurity DiveMicrosoftはCommon Weakness Enumeration(共通脆弱性列挙)という業界標準の体系を使用して脆弱性を分類すると発表した。これによって事業者たちにはどのような変化やメリットが生じるのか。
続きを読む »



Render Time: 2025-04-15 05:27:59