脅威モデリング研究会

脅威モデリングの知見共有を目的としたオープンコミュニティ

このコミュニティミートアップはスピーカーによる様々なトークと勉強会/研究会をメインに、脅威モデリングに関する知見の共有を目的としたベンダーニュートラルなオープンコミュニティイベントです。自由な議論を推奨します。

主催

脅威モデリングオープンコミュニティ

イベント/会場スポンサー

株式会社セキュリティイニシアティブ (https://security-initiative.co.jp)

イベント概要

この研究会では、参加者全員が脅威モデリングに関する基本的な知識・経験を有していることを前提に、発展的かつ実践的なアプローチを模索します。ファシリテータ含めた参加者は小グループに分かれ、実際のシナリオを用いて脅威モデリングを実践します。脅威モデリングのプロセスと対話を通じてよりよいアプローチを全員で見つけ出します。

対象者

• 過去に脅威モデリングワークショップを受講された方
• または、脅威モデリング実践者

プログラム内容

グループごとにホワイトボードを使用して下記の流れで脅威モデリングを実施

今回は以下の流れで実施します。

1. 事業にとって発生したら困る脅威を洗い出す
2. アーキテクチャ図と機能概要からDFDを書く
3. DFD上でその脅威が発生する可能性(＝脆弱性の連鎖)を洗い出す
4. 対策を講じる
5. うまくいった点、そうでなかった点を振り返る

グループワーク発表：各グループが見つけた脅威と提案する対策を共有

ファシリテータ紹介

• 小笠 貴晴：OWASP Sendaiチャプターリーダー、株式会社セキュリティイニシアティブ代表。ペンテスター/セキュリティコンサルタントとして、ペネトレーションテストや脆弱性診断をベースにITセキュリティに関するテクニカルコンサルティングを得意とする。資格：GXPN, GCFA, GPEN, GWAPT, GCIH。

• Hayapi : toC事業の会社のITセキュリティ部門に所属。エンジニア→コーポレートIT(セキュリティ兼務)→セキュリティ専任(ｲﾏｺｺ)。本業では戦略、ガバナンス、マネジメント、教育、脆弱性管理の領域や、ゼロトラストの思想をベースとした社内アーキテクチャの設計・実装に従事。組織に必要なセキュリティの取り組みはなんでもやる。情報処理安全確保支援士。

注意事項

• 本ワークショップは脅威モデリングの基礎講習は行いません。そのためワークショップ受講者や脅威モデリングの実践者を台頭としております。
• 参加人数が5名以下の場合はこのイベントをキャンセルいたします。

行動規範

1. 尊重の精神

すべての参加者、講演者、スポンサー、ボランティアは、性別、性的指向、障がい、外見、体サイズ、人種、民族、年齢、宗教、技術選択に関わらず尊重をもって接することを求めます。

2. ハラスメントの禁止

以下のようなハラスメント行為はコミュニティ内で許容されません： - 性的な言葉や画像の使用 - 脅迫、ストーカー行為、つきまとい - 攻撃的なコメントやジョーク - 他人の個人情報の公開
- その他の不適切な行動

3. 参加者の責任

ミートアップの参加者は、これらのルールを守る責任があります。ハラスメントを目撃した場合、主催者に報告することが求められます。

4. 主催者の役割

主催者は、行動規範に違反する行為に対して適切な対応を行います。これには警告の発令や、ミートアップからの退場命令も含まれます。

5. 安全な環境の確保

我々の目標は、すべての人にとって安全でポジティブな経験を提供することです。参加者一人一人がこれに貢献することをお願いします。