Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
脅威モデリングによるシフトレフト活動
Search
Aja9tochin
August 02, 2025
Technology
0
8
脅威モデリングによるシフトレフト活動
Aja9tochin
August 02, 2025
Tweet
Share
More Decks by Aja9tochin
See All by Aja9tochin
コレオグラフィ型サーガでのデータモデルの持ち方
pandayumi
0
13
5分でカオスエンジニアリングを分かった気になろう
pandayumi
0
360
DDD集約とサービスコンテキスト境界との関係性
pandayumi
3
340
業務改善原則を使った企画の重要性
pandayumi
0
29
セキュリティ視点以外の重要な脅威分析
pandayumi
0
14
ビジネスアーキテクチャにおける脅威分析
pandayumi
0
11
既存の脅威モデリング実施における新たな脅威とその対策に必要な思考
pandayumi
0
7
ADR運用におけるデータ利活用の考え方
pandayumi
0
380
Other Decks in Technology
See All in Technology
CREが作る自己解決サイクルSlackワークフローに組み込んだAIによる社内ヘルプデスク改革 #cre_meetup
bengo4com
0
340
GraphRAG グラフDBを使ったLLM生成(自作漫画DBを用いた具体例を用いて)
seaturt1e
1
150
AI駆動で進める依存ライブラリ更新 ─ Vue プロジェクトの品質向上と開発スピード改善の実践録
sayn0
1
320
ラスベガスの歩き方 2025年版(re:Invent 事前勉強会)
junjikoide
0
180
AI機能プロジェクト炎上の 3つのしくじりと学び
nakawai
0
120
Retrospectiveを振り返ろう
nakasho
0
110
IoTLT@ストラタシスジャパン_20251021
norioikedo
0
140
だいたい分かった気になる 『SREの知識地図』 / introduction-to-sre-knowledge-map-book
katsuhisa91
PRO
3
1.4k
Azure Well-Architected Framework入門
tomokusaba
1
130
事業開発におけるDify活用事例
kentarofujii
5
1.5k
IBC 2025 動画技術関連レポート / IBC 2025 Report
cyberagentdevelopers
PRO
2
180
現場の壁を乗り越えて、 「計装注入」が拓く オブザーバビリティ / Beyond the Field Barriers: Instrumentation Injection and the Future of Observability
aoto
PRO
1
610
Featured
See All Featured
Speed Design
sergeychernyshev
32
1.2k
Leading Effective Engineering Teams in the AI Era
addyosmani
7
640
Intergalactic Javascript Robots from Outer Space
tanoku
272
27k
For a Future-Friendly Web
brad_frost
180
10k
Designing Experiences People Love
moore
142
24k
The Illustrated Children's Guide to Kubernetes
chrisshort
49
51k
How To Stay Up To Date on Web Technology
chriscoyier
791
250k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
55
3k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
34
2.5k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
9
1k
The Invisible Side of Design
smashingmag
302
51k
What’s in a name? Adding method to the madness
productmarketing
PRO
24
3.7k
Transcript
脅威モデリングによる シフトレフト活動 最近噂の 某(株)ゆめ〇 兼 脅威モデリング東京運営メンバー 工藤 ユミ
あたり前品質は、脅威モデリング によって浸透する。 DDD×脅威モデリングを体現せよ。 根底は、モデル駆動の思想です。 今日の大主張です
さらっと自己紹介 遍歴: 得意分野:抽象化、アナロジー、モデル駆動、推論 趣味:モデリング、アナロジー、推論で結果予測と振り返り、パンダとメタル 職位:PdM、ビジネスアーキテクト 保有資格:UMLモデリング技能L1&2、Java言語のなんか 所属コミュニティ:DAMAデータ分科会、脅威モデリング東京(運営) 2025/8/2
特に学習すべき人は誰か? プロダクトコードを書く、開発者 障害対応する人 アーキテクト マーケティング担当 PdM 経営者、事業責任者 QAさん、、、、 ようは、全員に共通して求められるようになります。 なぜなら!
あらゆる仕組みづくりは、リスクマネジメントだから。 2025/8/2
脅威モデリングで何が嬉しいのか? 要件や設計などの初期工程で、セキュリティリスクの議論ができる 脆弱性診断は、モノができてからでないとだが、実装前に議論できる&どのフェーズからでもできる 実際に使ってみると、ドメイン駆動やRDRAとの相性がバチくそ⿁めちゃくちゃいい 思想を抽象化したら、他の様々な非機能(品質特性とあえていいます)で応用できる 他にも嬉しいことは多々ありますが、本日は省略します。 余談: 分散システムで失敗してるとこでは、まずどこもかしこもこれを基本やっていない。 優秀な方は、頭の中で無意識にやってしまってる。 2025/8/2
脅威モデリングの手順(反復が前提) ① 何(リソース、情報資産)を守りたいのか?という文脈範囲の認識合わせを行う ② STRIDEフレームワークで、脅威(利害関係者の心配事)の洗い出しを行う ③ アタックツリーという攻撃者目線の論理ツリーを考える(ここですぐスコアリングできるなら、③飛ばして④へ) ④ ③をもとに、DREADの5観点でスコアリングし、対処すべきリスクを洗い出す ⑤
④で出したリスクへの軽減策を考える(コスト感込みで) ⑥ ⑤の軽減策実行後に、④のリスクポイントがどのくらい低下したか?を机上で見る ⑦ あとは、実装後の脆弱性診断結果などをもとに、再度①~継続的反復してに行う。 大体、ドメインモデリングと同じような感じ~ 2025/8/2
どこで学べるの? 興味わいたけど、どこで学べるの~? 体験できるの? 本なら⇒です。 でも限界があります。 そんなあなたへおすすめのイベントが今月あります。 2025/8/2
これに来れば良き( ̄▽ ̄) 6/19 こっちは発表形式(私発表するで) 6/30 こっちはワークショップ形式(増席予定) 2025/8/2
ありがとー 勉強会の仲間募集してるよ! 議論中心、予習必須。 だいぶヘヴィだけどね 草超えて森 2025/8/2