脅威分析モデル「STRIDE」について簡潔にまとめてみた

プロモーションを含みます
プロモーションを含みます
PR

STRIDE (ストライド) とは、「脅威分析モデル」の一つ。

脅威分析モデルとは、セキュリティ問題を防止することを目的として、脅威を明確にし、脆弱性を洗い出し、対策を構築するために使われる手法のこと。

Microsoft のセキュリティ開発ライフサイクルにおいて、STRIDE が使用されています。

以下、「Microsoft Learn」より抜粋。

2 – アプリケーションの設計を段階的に評価する

アプリケーションのコンポーネントと接続およびそれらの関係を分析します。 脅威モデリングは重要なエンジニアリング演習であり、セキュリティ要件の定義、脅威の識別と軽減、それらの軽減策の検証が含まれます。 この手法は、アプリケーションの開発や運用のどの段階でも使用できますが、新しい機能の設計段階で使用するのが最も効果的です。

よく使用される手法は次のとおりです。

STRIDE:
・スプーフィング
・改ざん
・否認
・情報漏えい
・サービス拒否
・特権の昇格

https://docs.microsoft.com/ja-jp/azure/architecture/framework/security/design-threat-model

STRIDE は、以下の6つの脅威の頭文字をとったものです。

Spoofing Identityスプーフィング アイデンティティ
Tampering with dataタンパリング ウィズ データ
Repudiationレピュディエイション
Information disclosureインフォメーション ディスクロージャ
Denial of serviceディナイアル オブ サービス
Elevation of privilegeエレベイション オブ プリヴィレジ

Spoofing Identity

読み方: スプーフィング・アイデンティティ
意味: なりすまし・偽造

例: 第三者が正規ユーザになりすまし不正を行う

Tampering with data

読み方: タンパリング ウィズ データ
意味: 改ざん

例: 悪意のあるデータに改変する

Repudiation

読み方: レピュディエイション
意味: 否認

例: サーバに侵入したログを消去することによって証拠を隠滅する

Information disclosure

読み方: インフォメーション ディスクロージャ
意味: 情報漏えい

例: クレジットカード番号などが流出する

Denial of service

読み方: ディナイアル オブ サービス
意味: サービス妨害

例: DDoS攻撃でWebサイトをサービス停止に追い込む

Elevation of privilege

読み方: エレベイション オブ プリヴィレジ
意味: 権限の昇格

例: 管理者権限を奪取し不正なプログラムを実行する