Webアプリケーションセキュリティ対策の重要なポイントの1つは、どのようなリスクにさらされているかを把握し、それらのリスクを評価することだ。このプロセスは脅威モデリングと呼ばれる。その過程ではアプリケーションの弱点とその影響を技術的に検討するため、脅威モデリングには脆弱性モデリングやリスクモデリングといえる側面もある。
Webアプリケーションのセキュリティがあなたの会社のビジネスにとって重要なら、脅威モデリングの結果は高レベルなものも含めて、十分に注意を払いながら開発プロセスに反映させなければならない。というのも、Webアプリケーションでは思いがけないさまざまなことが起こる可能性があるからだ。Webの世界では、ファイアウォールやSSL、強力なパスワードといった基本的なセキュリティ要素が整備されていれば、すべてが安全だという思い込みに陥りやすい。この危険な思い込みは結局のところ、どのようなリスクにさらされているかよく知らないことによるものだ。現在の情報セキュリティにおいては、これは命取りになる。
脅威モデリングはこうした問題の回避に役立つ。効果は絶大だ。以下では、脅威モデリングを進める上で欠かせない重要なステップを紹介していこう。
●1. セキュリティの目標を設定する
目標設定に当たっては、「対象範囲をどうするか」「決定的に重要なものは何か」「経営陣やセキュリティポリシー、さらには顧客やビジネスパートナーが何を要求しているか」を明確にする。
引用元 http://headlines.yahoo.co.jp/hl?a=20080902-00000001-zdn_tt-sci
