用語集 › 🔒 セキュリティ › STRIDEモデル
【すとらいどもでる】

STRIDEモデル とは?

💡 6つの視点でシステムの弱点を洗い出す脅威分析の定番
📌 このページのポイント
STRIDEモデル — 6つの脅威カテゴリ S: Spoofing(なりすまし) T: Tampering(改ざん) R: Repudiation(否認) I: Info Disclosure(漏洩) D: DoS(サービス拒否) E: Elevation(権限昇格) 使い方 1. データフローダイアグラムを作成 2. 各要素に6カテゴリの脅威がないかチェック 3. 発見した脅威に対策を設計・実装
STRIDEモデルの6つの脅威カテゴリ
ひよこ ひよこ

STRIDEモデルって、何に使うの?

ペンギン先生 ペンギン先生

システムを設計する時に、どんなセキュリティ脅威があるかを体系的に洗い出すためのフレームワークだよ。6つのカテゴリに沿ってチェックすることで、見落としを防ぐんだ

ひよこ ひよこ

6つのカテゴリって具体的に何なの?

ペンギン先生 ペンギン先生

Spoofing(なりすまし)、Tampering(改ざん)、Repudiation(否認)、Information Disclosure(情報漏洩)、Denial of Service(サービス拒否)、Elevation of Privilege(権限昇格)の6つだよ

ひよこ ひよこ

どうやって使うのかな?

ペンギン先生 ペンギン先生

まずシステムのデータフローダイアグラムを描いて、各コンポーネントやデータの流れに対して6つのカテゴリの脅威がないか1つずつ確認していくんだ。たとえばログイン機能なら、なりすまし(S)の脅威が高いとかね

ひよこ ひよこ

開発の早い段階でやるのが大事なんだよね?

ペンギン先生 ペンギン先生

そうだよ。設計段階で脅威を洗い出せば、コードを書く前に対策を設計に組み込めるからね。後から直すよりコストが何十倍も安いんだ。セキュアSDLCの重要なステップとして広く採用されているよ

ペンギン
まとめ:ざっくりこれだけ覚えればOK!
「STRIDEモデル」って出てきたら「6つのカテゴリでセキュリティ脅威を分類するフレームワーク」と思えればだいたいOK!
📖 おまけ:英語の意味
「STRIDE Threat Model」 = STRIDE脅威モデル
💬 6つの脅威の頭文字を並べるとSTRIDE(大股で歩く)になる語呂合わせだよ
🔗 あわせて読みたい
← 用語集にもどる