どういうお話?
シフトレフトの実践に使える The Elevation of Privilege Threat Modeling Card Deck を日本語化したものを 無償公開している ので、ぜひぜひ使ってみてくださいねーというお話です。
シフトレフト、超大事!
今年も、いろいろ大きめのセキュリティ事件が発生しました。
この手のインシデントが発生した際によく言われるのが「なんでそんな明らかな脆弱性を放置してたんや…」です。そんなの、システム設計の段階で気づくべきだろ、的なツッコミですね。
(そういえば昨年の 某モバイル決済サービスの不正利用 のときも、ものすごいツッコまれてました)
言いたいことはよくわかります。
システムリリース後に脆弱性を突かれて「わーわー」対応をするのではなく、システム設計の段階でセキュリティ対策を組み込み、潜在的な脆弱性に対処しておく。システム開発の早期の段階でセキュリティ対応することにより、リスクの低減だけではなくコスト削減にもつながる。
いわゆる「シフトレフト (Shift Left)」と呼ばれているやつですね。
「セキュリティバイデザイン (Security by Design)」と呼ばれることもあるかと思います。
うん、シフトレフト、超大事。
完全に理解した。
シフトレフト、どうやる?
が、しかし、実際にシフトレフトを実践してみようとすると、これが結構難しい。
セキュリティインシデント発生後の分析であれば、ピンポイントで脆弱性を特定することが可能。
一方、シフトレフトの場合、セキュリティインシデント発生前に脆弱性を特定することになりますが、潜在的な脆弱性のあぶり出しとなるため、網羅的にシステム分析をやるしかない。
これ、難易度がぜんぜん違う。
うん、シフトレフト、超ムズい。
なにもわからない。
STRIDEによる脅威モデリング
そこで色々調べてみると、STRIDEを使った脅威モデリングという良さげな枠組みを発見。
STRIDEというのは、以下に挙げた代表的な6つの脅威分類の頭文字になっており、これらの脅威と照らし合わせてシステム分析を行うことで潜在的な脆弱性をあぶり出すという手法です。
- S: Spoofing(なりすまし)
- T: Tampering(改ざん)
- R: Repudiation(否認)
- I: Information Disclosure(情報漏えい)
- D: Denial of Service(サービス妨害)
- E: Elevation of Privilege(権限昇格)
※ STRIDEの詳細は、以下の記事が詳しく解説されているのでそちらをご参照ください。
Threat Modeling: ソフトウェアの脅威を洗い出す手法
なるほどなるほど。
これらの観点からシステムを分析して、潜在的な脆弱性を洗い出せばよいのか。
サンキュー、シフトレフト!
今度こそ完全にりかいし… いや、ちょっと待って
例えば「なりすまし」について分析する場合、具体的にどのような検討をすればよいのか?
セキュリティに詳しい人ならさておき、あまり詳しくない人に網羅的に分析せよというのはちょっと無理ゲーなのではなかろうか?
EoP Threat Modeling Card Game
ということでさらに調べた結果、EoP Threat Modeling Card Deck というスグレモノを発見。
こちら、STRIDEのそれぞれの脅威分類について代表的な脅威シナリオが書かれたカードゲームでございます 1。
実際のカードはこんな感じ。
これはいい。
セキュリティに詳しくない人でも 2、カードに書かれた脅威シナリオを参考にシステム分析することで、脆弱性のあぶり出しができる。
これで勝つる!
うん、シフトレフト、実践への道が見えてきた。
チョットデキル(気がしてきたヨー)
シフトレフト、もっと楽しく!
ということで、早速こちらのカードゲームを使った脅威分析を、職場で実際に試してみました。
結果、そこそこ好感触。
しかし、以下のようなネガティブな反応も。
- 英語つらいとです…
- イメージしにくい脅威シナリオがあるとです…
- カードゲームっぽくないとです…
いずれも日本語に訳せば解決するかと思いきや、そんな簡単な話でもない模様。
さて、どうしよう?
例えば Spoofingの2 のカードに書かれたこちら。
An attacker could squat on the random port or socket that the server normally uses
アタッカーがスクワット…
ランダムポートやソケットにスクワット…
サーバがノーマリーユージーズにスクワット…
なるほど、確かに脅威シナリオがスッと頭に入ってこないかもしれない。
これをイメージしやすく&カードゲームっぽくするには、どうすればよいのか?
スクワット…
スクワット… スクワット…
スクワット… スクワット… スクワット…
スクワット… スクワット… スクワット… スクワット…
!!?
そうだ。
我らが日本には、コレがありました。
コレを使えば、課題が一気に解決できそうな気がします。
そんなこんなで、圧倒的閃きをもとに、EoPカードゲームにアレンジを加えた結果がこちらです。
ご精査ください。
Elevation of Privilege 脅威モデリングカードゲーム
サンキュー、いらすとや!3
ノリで 熟考の果てに魔改造をした結果、ものすごく脅威がイメージしやすくなりました。
これならいけそうです。
改めてこちらの版を使って職場でシフトレフト分析を実施したところ、軒並み大好評 4。
頑張って全カードを日本語化&いらすとや化した甲斐がありました(楽しい苦行でした…)
シフトレフト、皆さんもレッツトライ!
以上、シフトレフトの実践に使える The Elevation of Privilege Threat Modeling Card Deck を日本語化してみたよー、というお話でした。
このカードゲーム、よくできている(と個人的には思っている)ので、少しでも興味を持たれた方は、騙されたと思ってぜひ一回プレイしてみてくださいませ 5。
うん、シフトレフト、カードゲーム 無償公開中!
ミンナモデキル!
-
同様のカードゲームとして、OWASP が公開している OWASP Cornucopia なんてのもあります。 ↩
-
と書いたものの、カードに書かれた脅威の中には、セキュリティに詳しくない人にはちょっと意味が分かりにくいものがあるかもしれません。書かれている脅威の詳細は、EoPカードゲームの原作者さんが書かれた本 (Threat Modeling: Designing for Security) で解説されているので、そちらも併せて参照するとよいかも。この本、とってもいい本なんですが、日本語訳がないんですよね… (´・ω・`) ↩
-
非商用利用であれば、点数に関係なくイラストの利用を無料で認めてくれているのが本当にスゴイ。一生ついていきます! ↩
-
さらにEoPカードゲームの原作者さんに「こんなの作ったよー」と連絡をしたところ、ものすごいウケました。結果、公式サイトからリンクされました(笑) ↩
-
カードゲームのルールなどは、カードゲームに記載されております。 ↩