STRIDE (ストライド) とは、「脅威分析モデル」の一つ。
脅威分析モデルとは、セキュリティ問題を防止することを目的として、脅威を明確にし、脆弱性を洗い出し、対策を構築するために使われる手法のこと。
Microsoft のセキュリティ開発ライフサイクルにおいて、STRIDE が使用されています。
以下、「Microsoft Learn」より抜粋。
2 – アプリケーションの設計を段階的に評価する
アプリケーションのコンポーネントと接続およびそれらの関係を分析します。 脅威モデリングは重要なエンジニアリング演習であり、セキュリティ要件の定義、脅威の識別と軽減、それらの軽減策の検証が含まれます。 この手法は、アプリケーションの開発や運用のどの段階でも使用できますが、新しい機能の設計段階で使用するのが最も効果的です。
よく使用される手法は次のとおりです。
STRIDE:
https://docs.microsoft.com/ja-jp/azure/architecture/framework/security/design-threat-model
・スプーフィング
・改ざん
・否認
・情報漏えい
・サービス拒否
・特権の昇格
STRIDE は、以下の6つの脅威の頭文字をとったものです。
Spoofing Identity
Tampering with data
Repudiation
Information disclosure
Denial of service
Elevation of privilege
Spoofing Identity
読み方: スプーフィング・アイデンティティ
意味: なりすまし・偽造
例: 第三者が正規ユーザになりすまし不正を行う
Tampering with data
読み方: タンパリング ウィズ データ
意味: 改ざん
例: 悪意のあるデータに改変する
Repudiation
読み方: レピュディエイション
意味: 否認
例: サーバに侵入したログを消去することによって証拠を隠滅する
Information disclosure
読み方: インフォメーション ディスクロージャ
意味: 情報漏えい
例: クレジットカード番号などが流出する
Denial of service
読み方: ディナイアル オブ サービス
意味: サービス妨害
例: DDoS攻撃でWebサイトをサービス停止に追い込む
Elevation of privilege
読み方: エレベイション オブ プリヴィレジ
意味: 権限の昇格
例: 管理者権限を奪取し不正なプログラムを実行する