CSAジャパン 「クラウド脅威モデリング」（日本語翻訳版）を公開していますね。。。

こんにちは、丸山満彦です。

CSAジャパンが「クラウド脅威モデリング」（日本語翻訳版）を公開していますね。

従来は、どうしても脆弱性対策に目が行きがちだった（できているべき対策でできていないことが目につくことが多かったので、、、）のですが、本来的に、セキュリティは、脅威を正しく理解することが、脆弱性の理解に繋がるということですから、脅威を正しく理解しようとすることは重要ですね。。。

どういう泥棒 (who) が、どのような意図 (why) をもって、どういう道具 (by what) を使って、いつ頃 (when) 、どのようにして侵入 (how) し、何を (to what) 盗もうとしているか？があらかじめ解ると対策も立てやすく、脆弱性も減らせることができる、ということにつながります。

なので、まずは脅威を洗い出し、それに対する脆弱性を把握し、その脅威が脆弱性をついてどのような資産に影響を及ぼすということを理解した上で、対策を導入し、残留リスクを把握するという流れになりますね。。。

むかしあったGMITS (Guidelines for the Management for IT Security) ISO/IEC TR 13335　(TRX0036) に書かれていたことですね。。。

 

● Cloud Security Alliance Japan

・2021.10.31 翻訳WGが「クラウド脅威モデリング」を公開しました！

・[PDF] クラウド脅威モデリング

目次です。。。

はじめに
目的
想定読者
主な論点
脅威モデリング
脅威モデリングの目的：
コアとなる脅威モデリングの取り組み：
クラウド脅威モデリング
クラウド脅威モデリングの目的は、非クラウド脅威モデリングとは異なりますか？
クラウド脅威モデリングプロセス
クラウド脅威モデルの作成
どのようにしてゼロから始めるか
クラウド脅威モデルリファレンス
おわりに
付録1：脅威モデリングレポート作成に関する詳細なガイダンス
付録2: クラウド脅威モデリングカード

---

参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.07.30 Cloud Security Alliance がクラウド脅威モデリングを促進するためのガイドを公表していますね。。。