今年度ITC京都塾 第1弾は「組織を脅威から守る」がテーマで、下記のワークショップを開催します。
「脅威モデリングワークショップ」
別名ホワイトボードハッキングといわれる、システムやアプリケーションのモデルであるデータフロー図(DFD)を元に脅威を特定しリスク評価と対策を考える実習です。
AWS re:Inforce 2023 でもAPS271: Threat modeling for buildersとして設定されたワークショップです。
2~4人のチームに分けてホワイトボード上にDFD(データフローダイアグラム)を書いてその図を元にディスカッションしながら脅威を特定していく実習です。チームに分かれて主催者が用意したシステム概要を元に皆で図を描きながら進めます。開発工程の早い段階でセキュリティ要件を検討したり、潜在的な脅威を話し合うことで上流段階でシステムの脆弱性を洗い出し、脅威に対する対策を機能要求や非機能要求として抽出し、設計に反映させます。
DXが進み、ハイブリッドクラウド/マルチクラウド型のシステム構成が当たり前となってきていることから、注目されている手法で、脅威モデリングは、脆弱性が悪用される前に特定し、リスクを軽減してセキュリティを向上させるための積極的な対策を講じることを可能にするため、重要な役割を果たします。
システム開発の初期段階への関与度が高いITコーディネータとして、身に着けておくべきスキルであるともいえます。
講師は、日本のエシカルハッカー(ホワイトクラッカー)の第一人者の一人、小笠さんです。
講師
小笠 貴晴
株式会社セキュリティイニシアティブ代表。
OWASP Sendaiチャプターリーダー。ペンテスター/セキュリティコンサルタント。
ペネトレーションテストや脆弱性診断をベースにITセキュリティに関するテクニカルコンサルティングを得意とする。GXPN/GCFA/GPEN/GWAPT/GCIH/ITコーディネータ、NPO法人東京ITコーディネータ理事
