7. 用語集
この用語集では脅威モデリングで頻繁に使用される単語とその意味について説明します。
ASVS: OWASP アプリケーションセキュリティ検証標準 (Application Security Verification Standard, ASVS) プロジェクトはウェブアプリケーションの技術的なセキュリティコントロールをテストするための基礎を提供し、また、開発者にセキュア開発のための要件リストも提供します。 (OWASP Application Security Verification Standard, n.d.)
Attack tree: アタックツリーはさまざまな攻撃に基づいてシステムのセキュリティを記述する正式で体系的な方法を提供します。基本的には、システムに対する攻撃をツリー構造で表現し、目標をルートノード、その目標に達するさまざまな方法をリーフノードとします。 (Schneier, 1999)
Azure DevOps: Azure DevOps は作業計画、コード開発でのコラボレーション、アプリケーションのビルトとデプロイを行うチームをサポートする開発者向けサービスを提供します。開発者は Azure DevOps Services を使用してクラウドで、または Azure DevOps Server を使用してオンプレミスで作業できます。Azure DevOps Server は以前は Visual Studio Team Foundation Server (TFS) という名前でした。 (What is Azure DevOps, n.d.)
CVSS: 共通脆弱性評価システム (Common Vulnerability Scoring System, CVSS) は脆弱性の主要な特徴を捉え、その深刻度を反映した数値スコアを生成する方法を提供します。この数値スコアは定性的な表現 (低、中、高、重大など) に変換することができ、組織が脆弱性管理プロセスを適切に評価して優先順位をつけるのに役立ちます。 (Common Vulnerability Scoring System SIG, n.d.)
DevOps: DevOps はソフトウェア開発 (Dev) と IT 運用 (Ops) を組み合わせた一連のプラクティスです。システム開発ライフサイクルを短縮し、高いソフトウェア品質で継続的なデリバリを提供することを目的としています。
DevSecOps: DevSecOps とは最初からアプリケーションとインフラストラクチャセキュリティについて考えておくことを意味します。またいくつかのセキュリティゲートを自動化して、DevOps ワークフローがスローダウンしないようにすることも意味します。 (What is DevSecOps, n.d.)
G-suite: G Suite (旧称 Google Apps for Work) は Software as a Service (SaaS) 製品で、Google が企業、機関、非営利団体向けに開発したクラウドベースの生産性とコラボレーションツールをまとめたものです。 (Gavin, 2019)
JIRA: Jira Software はあらゆる種類のチームが仕事を管理できるように設計された製品ファミリーの一部です。もともと、Jira はバグおよび課題追跡システムとして設計されました。しかし今日では、Jira は要件やテストケース管理からアジャイルソフトウェア開発まで、あらゆる種類のユースケースに対応する強力な作業管理ツールへと進化しています。 (What is Jira used for, n.d.)
LINDDUN: プライバシー脅威モデリング手法で、ソフトウェアアーキテクチャにおけるプライバシー脅威をアナリストが体系的に引き出して緩和することを支援します。LINDDUNN はサポートするプライバシー脅威のカテゴリを表すニーモニックです。リンク可能性 (Linkability), 識別可能性 (Identifiability), 否認防止 (Non-repudiation), 検出可能性 (Detectability), 情報開示 (Disclosure of information), 認識欠如 (Unawareness), コンプライアンス違反 (Non-compliance) (LINDDUN privacy engineering, n.d.)
MS teams: Microsoft Teams はワークプレイスチャット、ビデオミーティング、ファイルストレージ、アプリケーション統合を組み合わせたコミュニケーションおよびコラボレーションプラットフォームです。このサービスは Office 365 サブスクリプションのオフィス生産性スイートと統合されており、Microsoft 以外の製品と統合できる拡張機能を備えています。 (Microsoft Teams, 2020)
OWASP risk rating methodology: OWASP が導入したリスク評価手法で六つのステップでリスク評価にアプローチします。リスクの特定、可能性の推定要因、影響の推定要因、リスクの深刻度の決定、修正対象の決定、リスク評価モデルのカスタマイズ。
Playbook: チームの戦略とプレイを含む本。特定の活動、事業、仕事に適した一連の規則および提案。
SAMM: OWASP SAMM はソフトウェア保証成熟度モデル (Software Assurance Maturity Model) の略称です。これは OWASP のオープンソースプロジェクトです。詳しくは https://owaspsamm.org/about/ を参照してください。
Security champion: セキュリティチャンピオンはチームのアクティブなメンバーです。セキュリティチームをいつ関与させるかについての決定に役立ちます。製品やサービスにおけるセキュリティ保証プロセスの中核的な要素として機能し、チーム内の単一連絡窓口 (Single Point of Contact, SPOC) の役割を担います。詳しくは https://github.com/c0rdis/security-champions-playbook をご覧ください。
Sharepoint: 組織では Microsoft SharePoint を使用してウェブサイトを作成しています。さまざまなデバイスから情報を保存、整理、共有、アクセスするためのセキュアな場所として使用できます。
STRIDE: コンピュータのセキュリティ脅威を特定するために Microsoft が開発した脅威のモデルです。セキュリティ脅威の六つのカテゴリのニーモニックを提供します。なりすまし (Spoofing), 改竄 (Tampering), 否認 (Repudiation), 情報開示 (Information disclosure), サービス拒否 (Denial of service), 権限昇格 (Elevation of privilege)
Squad: スクラムチームと同様に、スクワッドは一つの機能エリアに焦点を当て、部門の枠を超えた自律的なチーム (通常 6 ~ 12 名) です。各スクワッドは彼らが行う作業をガイドするユニークなミッションがあり、サポートのためのアジャイルコーチ、ガイダンスのためのプロダクトオーナーがいます。
Threat Modeling: 脅威モデリングはアプリケーションリスクを特定し管理する活動です。アーキテクチャリスク分析とも呼ばれます。
Last updated