Upgrade to Pro — share decks privately, control downloads, hide ads and more …

チームビルディング「脅威モデリング」ワークショップ

 チームビルディング「脅威モデリング」ワークショップ

こーへい

March 31, 2025
Tweet

More Decks by こーへい

Other Decks in Technology

Transcript

  1. 2 事前準備 • リンク先 ◦ 演習用Cacooシート ◦ 演習用スプレッドシート ▪ 配属先チームのシートをご利用ください

    • Slack使用方針 ◦ チーム毎にチャンネル内にスレッドを立てる ▪ チーム内での共有は通知数を減らすためにスレ内へ書き込み ◦ 全体での共有はチャンネルへ書き込み
  2. 24 演習1:車両登録機能のデータフロー図作成 1. Cacooでデータフロー図を作成してください ◦ 「チームX:演習1 データフロー図作成」シートに作成して下さい ▪ 紙とペンも用意しているので下書きにご利用ください ◦

    「演習1 データフロー図要素」に各要素のサンプル素材と説明文を用 意しているので必要であればコピペ等で活用してください ◦ 参考:DFD(データフロー図)ってなに?DFDの概要と書き方をあわ せて紹介 2. 必要に応じてスプレッドシート「演習共通:仮定リスト」にてシステム の曖昧な要素となっている箇所を仮定として書き起こして下さい(後述)
  3. 51 演習5:ヒント1 • 演習4で洗い出した脅威の対応策を考えます ◦ 対応策は以下リンク等が参考になります ▪ AWS Well-Architected Framework

    セキュリティの柱 ▪ AWS セキュリティドキュメント ▪ OWASP Top 10:2021 ◦ 1つの脅威に対して複数の対応策が必要な場合があります
  4. 56 参考 • Threat modeling for builders ◦ AWSの公式脅威モデリングワークショップ •

    メルカリの脅威モデリングプロセス ◦ メルカリの記事 • 前倒しで対処 -セキュリティを考慮したソフトウェア開発アプローチ 「シフトレフト」とは- ◦ シフトレフトとかDevSecOpsについての概念についてわかりやすい 記事