ユースケースシナリオ

以下のシナリオおよび組織名は完全に架空のものです。

アプリケーション開発のセキュリティ要件の定義

Cinnaminta SpA は新しい多言語多通貨の E コマースウェブサイトを立ち上げる予定です。開発は外部委託され、Cinnaminta は機能設計ドキュメントに取り組んでいます。他の多くの要件の中でも、アプリケーションセキュリティ仕様ではウェブサイトに PCI DSS v3.1 Requirement 6.5 で特定された脆弱性やペイメントカード所有者データの保護に影響を及ぼす可能性のあるその他の脆弱性が含まれてはいけないことが要求されています。Cinnaminta は OWASP Automated Threat Handbook で定義されているように、ウェブサイトの支払い機能が脅威イベント OAT-001 カード試行 (Carding) や OAT-010 カードクラッキング (Card Cracking) の影響を受けてはいけないことを指定します。さらに、アプリケーションは OAT-012 現金引き出し (Cashing Out) に対抗するため、会社の既存の不正検出システムとやり取りしなければいけません。要件は特定の製品やサービスのカテゴリではなく、これらの脅威イベントに関して指定されています。入札の呼びかけに応じる開発会社はオントロジーを使用して、これらの側面への回答を適切に絞り込むことができます。

セクター内でのインテリジェンスの共有

Unlimited Innovations Inc はさまざまな医療提供者に対して患者向けソフトウェアソリューションを開発およびサポートしています。その多くは National Health Service Cyber Intelligence Sharing Center (NHS-CISC) に参加しています。Unlimited Innovations はソフトウェアに継続的な監視機能をすでに組み込んでおり、オプションの拡張機能を提供することを決定しました。これにより顧客は不正使用イベントデータを相互に共有することを選択して、統合された脅威インテリジェンスから利益を得ることができるようになりました。大量の低レベルデータを共有するのではなく、Unlimited Innovations が情報を集約し、検証および分類された脅威データを参加組織間でブロードキャストします。自動化攻撃は OWASP Automated Threat Handbook で定義されている脅威イベントに従って分類されるため、各受信者は脅威の性質を理解できます。この情報共有に参加したくない組織でも、組織独自に分類された情報がわかりやすい監視ダッシュボードの形で内部のビジネス管理に利用できるため、メリットがあります。収集された情報は他のビジネス情報管理システムに反映して、患者サービスの向上に役立てることもできます。

CERT 間での脅威データの交換

National Computer Emergency Response Teams (CERT) はローカルな情報を共有することでサイバー攻撃の世界的な防止に貢献できると認識しています。CERT 間の協力は進展していますが、データ交換の標準化など、継続性と相互運用性を向上されるものを推奨しています。CERT Zog は受信するアプリケーション固有のデータがまばらであることとそのデータの分類について懸念しています。Zog は 2015 年の国家サイバーセキュリティ戦略で定義されたセクターに影響を及ぼす攻撃と侵害について特に懸念しています。CERT Zog とそれに隣接する CERT Tarset は両者間の脅威データ交換に使用されている既存のソリューションに、より大きなコンテキストを追加するために、OWASP Automated Threat Handbook を使用して脅威イベントにタグをつけることに同意します。このプログラムはセクターのメタデータも収集するため、これらのセクター内のすべての組織が一元管理されたインテリジェンスの恩恵を受けることができます。

アプリケーションペネトレーションテスト結果の強化

専門のアプリケーションセキュリティペネトレーションテスト会社である Cherak Industries Pte Ltd は主に銀行および保険セクターの金融サービス企業を対象としており、アジア全体での事業拡大を目指しています。Cherak はクライアントソフトウェアの障害と脆弱性追跡システムを統合するいくつかの革新的なペンテスト結果レポートシステムがあり、クライアントに付加価値を提供する方法を積極的に探しています。Cherak はペンテストの顧客が脆弱性、特に設計上の欠陥、の組み合わせの影響を理解するのに役立つことを確認し、自動化関連の脅威を定義し説明する OWASP Automated Threat Handbook を利用することを決定しました。個々の脆弱性は CVSS v2 および v3 を使用して通常どおりスコア付けされ、一致する CWE を特定し、緩和策を文書化しました。さらに Cherak は OWASP Automated Threat Handbook で定義されている脅威イベントを使用して、エグゼクティブサマリーに新しいセクションを作成し、発見された問題の組み合わせが自動化の脅威や技術的およびビジネス上の潜在的な影響の可能性についてどのようにつながるかを説明しています。たとえば、あるクライアントに対する評価で認証の脆弱性が特定されたため OAT-008 認証情報スタッフィング (Credential Stuffing) のリスクがあることがわかりました。定義済みの識別番号がクライアントに提供されたため、技術スタッフは OWASP ウェブサイトで追加情報を参照できました。

サービス取得ニーズの特定

Falstone Paradise Inc は自社のホテルおよびリゾートウェブサイトのポートフォリオの悪用を懸念しています。ウェブサイトの大部分は共有アプリケーションプラットフォームを使用していますが、いくつかの独自アプリケーションや多数のマイクロサイトがあり、Wordpress や Drupal などの一般的なコンテンツ管理システムを使用しているものもあります。Falstone Paradise は IT 運用チームがデータのクリーンアップ、顧客アカウントのリセット、攻撃時の追加容量の提供など自動化された不正使用の影響に対処するために非常に多くの時間を費やしていることを確認しました。さらに、望ましくない自動化は顧客から否定的なフィードバックにつながる不安定性も引き起こしています。そのため Falstone Paradise はセキュリティ市場に出向いて、すべてのウェブサイトでこれらの自動化の問題に対処するのに役立つ可能性のある製品やサービスを特定、評価、選択することに決めました。同社の購買チームは情報技術部門の同僚と協力して、詳細な要件を入札公告 (Invitation to Tender, ITT) 文書に記載します。これはそのウェブアプリケーションが受けている攻撃の種類、発生頻度、規模を示しています。これらは OWASP Automated Threat Handbook によって定義されているため、ベンダーが要件を誤解することはなく、各ベンダーの提出物を懸念される特定の自動化脅威イベントに対して評価できます。

ベンダーサービスの特徴付け

Better Best Ltd はゲームのチートや歪みを許し、通常のプレイヤーに混乱をもたらす可能性がある、さまざまな自動化された脅威から防御するゲーム会社に役立つ革新的なテクノロジーを開発しました。このソリューションはオンプレミスで展開できますが、サービスとしてクラウドでも利用できます。しかし、特に従来の製品カテゴリに当てはまらないため、 Better Best は市場でそのソリューションを説明するのに苦労しています。Better Best は製品の機能を定義するために OWASP Automated Threat Handbook に記載されている用語と脅威イベントを使用することを決定します。これが製品についてある程度の明確さを提供し、製品が従来のセキュリティデバイスをどのように置き換えて使用できるかを示すことを望んでいます。さらに、 Better Best は OAT-006 高速化 (Expediting), OAT-005 スキャルピング (Scalping), OAT-016 スキューイング (Skewing), OAT-013 狙撃 (Sniping) から保護するために、同社の参照顧客である Hollybush Challenge Games がどのように使用しているかを説明するホワイトペーパーを作成しています。