Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
脅威モデリングによるシフトレフト活動
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
Aja9tochin
August 02, 2025
Technology
52
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
脅威モデリングによるシフトレフト活動
Aja9tochin
August 02, 2025
More Decks by Aja9tochin
See All by Aja9tochin
ドメイン駆動セキュリティへの道しるべ
pandayumi
1
270
コマンドとリード間の連携に対する脅威分析フレームワーク
pandayumi
1
610
3分でわかる脅威モデリングの超概要
pandayumi
1
150
コレオグラフィ型サーガでのデータモデルの持ち方
pandayumi
0
61
5分でカオスエンジニアリングを分かった気になろう
pandayumi
0
680
DDD集約とサービスコンテキスト境界との関係性
pandayumi
3
510
業務改善原則を使った企画の重要性
pandayumi
0
59
セキュリティ視点以外の重要な脅威分析
pandayumi
0
47
ビジネスアーキテクチャにおける脅威分析
pandayumi
0
42
Other Decks in Technology
See All in Technology
AI駆動開発におけるQAエンジニアの役割事例 〜AI駆動開発の現場から〜
kobayashiyorimitsu
0
490
SRE依存からの脱却 運用を開 発チームへ移す、 フルサイ クル開 発体制の実践
joooee0000
0
2.6k
AIレビューはどこまで任せられるのか?自動化と人が背負うレビューの境界
sansantech
PRO
2
720
クラウド上のデータ復旧で見落としがちな制約: 医療系 SaaS の BCP 設計から得た教訓
kakehashi
PRO
0
3.4k
Making sense of Google’s agentic dev tools
glaforge
1
180
Keeping applications secure by evolving OAuth 2.0 and OpenID Connect
ahus1
PRO
1
160
Zoom2Youtube.Claude
kawaguti
PRO
3
490
ZOZOTOWNの進化と信頼性を両立する負荷試験
zozotech
PRO
2
160
【Claude Code】鹿野さんに聞く 私の推しの並行開発環境 大公開 / claude-code-parallel-2026-07-15
tonkotsuboy_com
10
6.8k
環境凍結という Toil を倒す -セルフサービス型 Ephemeral テスト環境の 設計と実践
shirouz
1
2.3k
ゼロをイチにする仕事が終わったあと
smasato
0
340
ループエンジニアリングでE2Eテストを実践
noriyukitakei
0
350
Featured
See All Featured
Leadership Guide Workshop - DevTernity 2021
reverentgeek
1
320
Game over? The fight for quality and originality in the time of robots
wayneb77
1
220
The untapped power of vector embeddings
frankvandijk
2
1.8k
Typedesign – Prime Four
hannesfritz
42
3.1k
DBのスキルで生き残る技術 - AI時代におけるテーブル設計の勘所
soudai
PRO
67
56k
Deep Space Network (abreviated)
tonyrice
0
220
Stop Working from a Prison Cell
hatefulcrawdad
274
21k
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
21
1.5k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
35
3.6k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
25
2k
Embracing the Ebb and Flow
colly
88
5.1k
A Soul's Torment
seathinner
6
3.1k
Transcript
脅威モデリングによる シフトレフト活動 最近噂の 某(株)ゆめ〇 兼 脅威モデリング東京運営メンバー 工藤 ユミ
あたり前品質は、脅威モデリング によって浸透する。 DDD×脅威モデリングを体現せよ。 根底は、モデル駆動の思想です。 今日の大主張です
さらっと自己紹介 遍歴: 得意分野:抽象化、アナロジー、モデル駆動、推論 趣味:モデリング、アナロジー、推論で結果予測と振り返り、パンダとメタル 職位:PdM、ビジネスアーキテクト 保有資格:UMLモデリング技能L1&2、Java言語のなんか 所属コミュニティ:DAMAデータ分科会、脅威モデリング東京(運営) 2025/8/2
特に学習すべき人は誰か? プロダクトコードを書く、開発者 障害対応する人 アーキテクト マーケティング担当 PdM 経営者、事業責任者 QAさん、、、、 ようは、全員に共通して求められるようになります。 なぜなら!
あらゆる仕組みづくりは、リスクマネジメントだから。 2025/8/2
脅威モデリングで何が嬉しいのか? 要件や設計などの初期工程で、セキュリティリスクの議論ができる 脆弱性診断は、モノができてからでないとだが、実装前に議論できる&どのフェーズからでもできる 実際に使ってみると、ドメイン駆動やRDRAとの相性がバチくそ⿁めちゃくちゃいい 思想を抽象化したら、他の様々な非機能(品質特性とあえていいます)で応用できる 他にも嬉しいことは多々ありますが、本日は省略します。 余談: 分散システムで失敗してるとこでは、まずどこもかしこもこれを基本やっていない。 優秀な方は、頭の中で無意識にやってしまってる。 2025/8/2
脅威モデリングの手順(反復が前提) ① 何(リソース、情報資産)を守りたいのか?という文脈範囲の認識合わせを行う ② STRIDEフレームワークで、脅威(利害関係者の心配事)の洗い出しを行う ③ アタックツリーという攻撃者目線の論理ツリーを考える(ここですぐスコアリングできるなら、③飛ばして④へ) ④ ③をもとに、DREADの5観点でスコアリングし、対処すべきリスクを洗い出す ⑤
④で出したリスクへの軽減策を考える(コスト感込みで) ⑥ ⑤の軽減策実行後に、④のリスクポイントがどのくらい低下したか?を机上で見る ⑦ あとは、実装後の脆弱性診断結果などをもとに、再度①~継続的反復してに行う。 大体、ドメインモデリングと同じような感じ~ 2025/8/2
どこで学べるの? 興味わいたけど、どこで学べるの~? 体験できるの? 本なら⇒です。 でも限界があります。 そんなあなたへおすすめのイベントが今月あります。 2025/8/2
これに来れば良き( ̄▽ ̄) 6/19 こっちは発表形式(私発表するで) 6/30 こっちはワークショップ形式(増席予定) 2025/8/2
ありがとー 勉強会の仲間募集してるよ! 議論中心、予習必須。 だいぶヘヴィだけどね 草超えて森 2025/8/2