Trike

サイバーセキュリティ専門家になるための総合学習サイト

Trikeとは

Trikeとは、許容できるリスクを中心に考える脅威モデルです。

資産(データ)とデータを扱う人・システムを列挙します。それぞれデータに対する作成・読取・更新・削除を明確にします。

すると、データが誰が更新されてそのデータを誰に渡るのかという流れを図にすることができます。これをデータフロー図(DFD)といいます。

データフロー図の中で、権限昇格かサービス不可(DoS)できる脅威ある箇所を探します。

そして、それぞれの脅威箇所に利用者が触れられるかどうかを5段階で評価します。

参考文献

ウィキペディア、Threat model、https://en.wikipedia.org/wiki/Threat_model

Tweet 2k