Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
脅威モデリングによるシフトレフト活動
Search
Aja9tochin
August 02, 2025
Technology
0
8
脅威モデリングによるシフトレフト活動
Aja9tochin
August 02, 2025
Tweet
Share
More Decks by Aja9tochin
See All by Aja9tochin
コレオグラフィ型サーガでのデータモデルの持ち方
pandayumi
0
7
5分でカオスエンジニアリングを分かった気になろう
pandayumi
0
310
DDD集約とサービスコンテキスト境界との関係性
pandayumi
3
310
業務改善原則を使った企画の重要性
pandayumi
0
27
セキュリティ視点以外の重要な脅威分析
pandayumi
0
12
ビジネスアーキテクチャにおける脅威分析
pandayumi
0
11
既存の脅威モデリング実施における新たな脅威とその対策に必要な思考
pandayumi
0
4
ADR運用におけるデータ利活用の考え方
pandayumi
0
350
Other Decks in Technology
See All in Technology
#普通の文系サラリーマンチャレンジ 自分でアプリ開発と電子工作を続けたら人生が変わった
tatsuya1970
0
740
非エンジニアのあなたもできる&もうやってる!コンテキストエンジニアリング
findy_eventslides
3
840
AWSのProductのLifecycleについて
stknohg
PRO
0
290
いまさら聞けない ABテスト入門
skmr2348
0
170
あなたのWebサービスはAIに自動テストしてもらえる?アクセシビリティツリーで読み解く、AIの『視点』
yusukeiwaki
1
3.3k
Function calling機能をPLaMo2に実装するには / PFN LLMセミナー
pfn
PRO
0
640
Flaky Testへの現実解をGoのプロポーザルから考える | Go Conference 2025
upamune
1
290
避けられないI/O待ちに対処する: Rails アプリにおけるSSEとasync gemの活用 / Tackling Inevitable I/O Latency in Rails Apps with SSE and the async gem
moznion
2
1.8k
北海道の人に知ってもらいたいGISスポット / gis-spot-in-hokkaido-2025
sakaik
0
190
SoccerNet GSRの紹介と技術応用:選手視点映像を提供するサッカー作戦盤ツール
mixi_engineers
PRO
1
100
C# 14 / .NET 10 の新機能 (RC 1 時点)
nenonaninu
1
1.1k
インサイト情報からどこまで自動化できるか試してみた
takas0522
0
120
Featured
See All Featured
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
12
1.1k
It's Worth the Effort
3n
187
28k
Become a Pro
speakerdeck
PRO
29
5.5k
The Pragmatic Product Professional
lauravandoore
36
6.9k
GraphQLの誤解/rethinking-graphql
sonatard
72
11k
Build your cross-platform service in a week with App Engine
jlugia
231
18k
Imperfection Machines: The Place of Print at Facebook
scottboms
269
13k
Why Our Code Smells
bkeepers
PRO
339
57k
Optimizing for Happiness
mojombo
379
70k
Building Flexible Design Systems
yeseniaperezcruz
329
39k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
252
21k
Principles of Awesome APIs and How to Build Them.
keavy
127
17k
Transcript
脅威モデリングによる シフトレフト活動 最近噂の 某(株)ゆめ〇 兼 脅威モデリング東京運営メンバー 工藤 ユミ
あたり前品質は、脅威モデリング によって浸透する。 DDD×脅威モデリングを体現せよ。 根底は、モデル駆動の思想です。 今日の大主張です
さらっと自己紹介 遍歴: 得意分野:抽象化、アナロジー、モデル駆動、推論 趣味:モデリング、アナロジー、推論で結果予測と振り返り、パンダとメタル 職位:PdM、ビジネスアーキテクト 保有資格:UMLモデリング技能L1&2、Java言語のなんか 所属コミュニティ:DAMAデータ分科会、脅威モデリング東京(運営) 2025/8/2
特に学習すべき人は誰か? プロダクトコードを書く、開発者 障害対応する人 アーキテクト マーケティング担当 PdM 経営者、事業責任者 QAさん、、、、 ようは、全員に共通して求められるようになります。 なぜなら!
あらゆる仕組みづくりは、リスクマネジメントだから。 2025/8/2
脅威モデリングで何が嬉しいのか? 要件や設計などの初期工程で、セキュリティリスクの議論ができる 脆弱性診断は、モノができてからでないとだが、実装前に議論できる&どのフェーズからでもできる 実際に使ってみると、ドメイン駆動やRDRAとの相性がバチくそ⿁めちゃくちゃいい 思想を抽象化したら、他の様々な非機能(品質特性とあえていいます)で応用できる 他にも嬉しいことは多々ありますが、本日は省略します。 余談: 分散システムで失敗してるとこでは、まずどこもかしこもこれを基本やっていない。 優秀な方は、頭の中で無意識にやってしまってる。 2025/8/2
脅威モデリングの手順(反復が前提) ① 何(リソース、情報資産)を守りたいのか?という文脈範囲の認識合わせを行う ② STRIDEフレームワークで、脅威(利害関係者の心配事)の洗い出しを行う ③ アタックツリーという攻撃者目線の論理ツリーを考える(ここですぐスコアリングできるなら、③飛ばして④へ) ④ ③をもとに、DREADの5観点でスコアリングし、対処すべきリスクを洗い出す ⑤
④で出したリスクへの軽減策を考える(コスト感込みで) ⑥ ⑤の軽減策実行後に、④のリスクポイントがどのくらい低下したか?を机上で見る ⑦ あとは、実装後の脆弱性診断結果などをもとに、再度①~継続的反復してに行う。 大体、ドメインモデリングと同じような感じ~ 2025/8/2
どこで学べるの? 興味わいたけど、どこで学べるの~? 体験できるの? 本なら⇒です。 でも限界があります。 そんなあなたへおすすめのイベントが今月あります。 2025/8/2
これに来れば良き( ̄▽ ̄) 6/19 こっちは発表形式(私発表するで) 6/30 こっちはワークショップ形式(増席予定) 2025/8/2
ありがとー 勉強会の仲間募集してるよ! 議論中心、予習必須。 だいぶヘヴィだけどね 草超えて森 2025/8/2