book

脅威モデリング

Name: 脅威モデリング
ISBN: 9798341625792

by Izar Tarandach, Matthew J. Coles

March 2025

Beginner to intermediate

252 pages

3h 38m

Japanese

O'Reilly Media, Inc.

Read now

Unlock full access

序文
序文
この本を書いた理由この本は誰のためにあるのか？この本に書かれていること（そして書かれていないことこれらのテクニックは、さまざまなシステムに適用される。あなたの貢献が重要だ本書で使用されている慣例オライリー・オンライン・ラーニング問い合わせ先謝辞
はじめに
脅威モデリングの基本脅威モデリングとは何か？脅威モデリングが必要な理由障害システム開発ライフサイクルにおける脅威モデリングセキュリティの基本原則基本概念と用語重大性またはリスクの計算コア物件基本的なコントロールセキュアなシステムのための基本的なデザインパターン概要
1.モデリング・システム
システムモデルを作成する理由システムモデリングの種類データフロー図シーケンス図プロセスフロー図アタック・ツリーフィッシュボーン・ダイアグラムシステム・モデルの作り方優れたシステムモデルとはどのようなものか？概要
2.脅威モデリングへの一般化アプローチ
基本ステップシステムモデルに求められるものいつもの容疑者たち期待してはいけないこと脅威情報の収集概要
3.脅威モデリングの方法論
深入りする前に...フィルター、アングル、プリズムを通して見るついに方法論へストライド要素ごとのSTRIDE交流ごとのSTRIDE攻撃シミュレーションと脅威分析のプロセス脅威の評価と修復分析トライク特殊化された方法論LINDDUN狂気？これがスパルタだ！汚れを含まないゲームをしようか？ゲーム特権の昇格ゲーム特権とプライバシーの昇格ゲームOWASPコーヌコピアゲームセキュリティとプライバシーの脅威発見カードゲームLINDDUN GO概要
4.脅威モデリングの自動化
なぜ脅威モデリングを自動化するのか？コードからの脅威モデリング仕組みコードによる脅威モデリング仕組みpytmスレアギルその他の脅威モデリングツールの概要アイリウスリスクSD要素スレットモデラーOWASPスレットドラゴンMicrosoft脅威モデリングツールカイリスモジラ・シー・スポンジツタメン脅威モデル・オートメーターMLとAIによる脅威モデリング概要
5.継続的脅威モデリング
なぜ継続的脅威モデリングなのか？継続的脅威モデリング手法進化する：常に良くなるオートデスクの継続的脅威モデリング手法ベースラインベースライン分析十分やったといつわかるのか？あらゆるストーリーを脅威モデリングする現場からの発見概要
6.脅威モデリング・チャンピオンとしての役割を自覚する
脅威モデリングをリーダーシップに浸透させるには？他の製品チームからの抵抗を克服するには？脅威モデリングにおける（あるいは実際の）失敗感をどう克服するか？多くの類似したアプローチから脅威モデリング手法をどのように選択すべきか？悪い知らせ」をどう伝えるべきか？発見が認められた場合、どのような措置を取るべきか？何か見逃しただろうか？まとめとクロージングさらなる読み取り
A.実例
ハイレベルのプロセス・ステップ初めてのシステムモデルにアプローチする脅威モデリング演習を指導するサンプル演習システムモデルの作成コンポーネント、フロー、資産を特定するシステムの弱点と脆弱性を特定する脅威の特定悪用可能性の判断まとめ

B.脅威モデリング宣言
メソッドと目的脅威モデリング宣言脅威モデリングとは何か？なぜ脅威モデリングなのか？誰が脅威モデリングをすべきか？脅威モデリング宣言はどう使うべきか？価値観原則について
インデックス

Overview

この作品はAIを使って翻訳されている。ご意見、ご感想をお待ちしている：translation-feedback@oreilly.com

脅威モデリングは、開発ライフサイクルの中で最も重要で、最も誤解されている部分の一つである。セキュリティ実務者であれ、開発チームのメンバーであれ、本書は、脅威からシステムを保護するために、脅威モデリングの中核となる概念をどのように実務に適用すればよいかをよりよく理解するのに役立つだろう。

一般に信じられているのとは異なり、脅威モデリングを開始するのに高度なセキュリティ知識が必要なわけでも、継続するのに大変な努力が必要なわけでもない。しかし、コードが書かれる前に、そして、解決策を発見するのが手遅れになる前に、潜在的な懸念を発見し、費用対効果の高い方法で対処するためには不可欠である。著者のIzar TarandachとMatthew Colesは、あなたの組織で脅威モデリングに取り組み、実行するための様々な方法を紹介する。

データとシステム機能の安全性を確保するための基本的な特性と関数を探求する。
セキュリティ、プライバシー、安全性の関係を理解する
システムのセキュリティを評価するための重要な特性を特定する
システムをモデル化し分析するための、よく使われるテクニックと特殊化テクニックを詳しくレビューする
脅威モデリングとAgile開発手法（DevOps自動化を含む）の将来を展望する
脅威モデリングの一般的な落とし穴を回避する方法など、よくある質問に対する回答を発見する。

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.

Read now

Unlock full access

More than 5,000 organizations count on O’Reilly

O’Reilly covers everything we've got, with content to help us build a world-class technology community, upgrade the capabilities and competencies of our teams, and improve overall team performance as well as their engagement.

Julian F.

Head of Cybersecurity

I wanted to learn C and C++, but it didn't click for me until I picked up an O'Reilly book. When I went on the O’Reilly platform, I was astonished to find all the books there, plus live events and sandboxes so you could play around with the technology.

Addison B.

Field Engineer

I’ve been on the O’Reilly platform for more than eight years. I use a couple of learning platforms, but I'm on O'Reilly more than anybody else. When you're there, you start learning. I'm never disappointed.

Amir M.

Data Platform Tech Lead

I'm always learning. So when I got on to O'Reilly, I was like a kid in a candy store. There are playlists. There are answers. There's on-demand training. It's worth its weight in gold, in terms of what it allows me to do.

Mark W.

Embedded Software Engineer

Publisher Resources

ISBN: 9798341625792

Cloud Computing

Data Engineering

Data Science

AI & ML

Programming Languages

Software Architecture

IT/Ops

Security

Design

Business

Soft Skills