脅威モデリングナイト #4 in Kobe

こちらのイベントにおじゃましていました。
https://threatmodeling.connpass.com/event/326907/

脅威モデリングや脅威インテリジェンスというワード自体は少し前から見聞きしていましたが、そもそも何じゃらほいという状態。
名前の響きからUMLみたいに何かしらモデルでも作るのかな、ぼちぼち調べてみないとなと薄ら思っていたところ。
関西でイベントをやるということで、今でしょとばかりにキャッチアップしに行った次第です。
行ってみての雑な理解を書くと、開発予定のシステムの図をみんなで見ながら
セキュリティ周りの課題を出してつぶすという感じでしょうか。

以下、行ってみたメモ。 講演者の資料はそのうちアップされると思います。

1. オープニング

元は東京を中心にやっていたが、徳島で開催したイベントがきっかけで 神戸での開催が決まったとのこと。

2. OTセキュリティ×脅威モデリング #2

• 書籍

  • Threat Modeling: Designing for Security
  • Threat Modeling
  • セキュアなソフトウェアの設計と開発

• 脅威モデリングとは？
  

  • 1999年が始まり
  • The Threat Modeling Manifesto
    • 脅威モデリングとは、システムの描写を分析して、セキュリティとプライバシーの特性に関する懸念を浮き彫りにすることです。脅威モデリングの最上位レベルでは、4つの重要な質問をします。
      • 私たちは何に取り組んでいますか？
      • 何が問題になるでしょうか？
      • それらについて私たちは何を行いますか？
      • 私たちはどんな仕事ができましたか？
  • IEC62443-4-1
    • 潜在的なセキュリティ問題を特定するためのセキュリティ設計分析技術
• OT(Operational Technology)とは？
  • 規格
    • IT：ISO/IEC27000series
    • OT：IEC 62443 series
      • 工場の機器：Wi-Fi, HMI, SCADAなど 　- 事例
    • Stuxnet(2010年)：イランのウラン濃縮施設へのサイバー攻撃
      • この辺見たら概要はわかりそう
        • https://www.nca.gr.jp/info/stuxnet.html
        • https://www.itmedia.co.jp/news/articles/2005/13/news013.html
      • 元々はITとOTは分離されていたが、この件を機に一緒に考えられるようになった
• OTセキュリティに関係する規制
  • EUサイバーレジリエンス法
    （EU Cyber Resilience Act：CRA・・・2024年承認,2027年本格的に適用）
  • IEC62443-4-1（セキュアな製品開発ライフサイクル）要求事項
    • 脅威モデリングはシステム開発の要件定義の一環に相当する
    • 現状の閲覧方法
      • 5万円払って英語版を買う
      • 国立国会図書館で閲覧する
      • 10万円弱を払って日本規格協会から邦訳を買う
• 質疑応答
  • OTって難しく参考文献もないけど、どうやって勉強したのですか？
    • システムは複数の製品を組み合わせて作られる。各製品に特化したプロトコルが入り混じった状態になるため、これだけを勉強しろというのがない
    • OTを扱った日本語の本があったはず

3. ネットワーク運用の期待と現実のギャップを埋めるために脅威モデリングを使ってみた

• 大学ネットワーク運用の期待
  • コロナ以降、大学のネットワークは以前より安定した運用が求められる
    • オンライン授業, 大学説明会, 入試（現在は大学院のみ）
• 大学の公式なイベントでのネット利用
  • 依頼経路：イベント部局→情報担当部局（主に情報系教員）
  • 依頼内容
    • 不具合対応
    • イベントは土日開催・・・
  • 課題
    • 都合よく担当者を割り当てられない（担当部局は何かトラブル発生しても情報担当がいれば大丈夫だと思っている！？）
    • たぶん担当者をネットワークのトラブルにご利益のある御礼と勘違いしている。
    • できることは限られる。

　　　　　　　　　　　　　　　↑
　　　　　　　　[一般社会でもあるあるだなあ・・・]

• 脅威モデリング試してみた
  • ネットワークのモデル化
    • モデルを見ながら不具合発生可能性のある個所、回復作業可能な個所を共通理解
    • バックアップネットワークの提案
• やってみての感想
  • 情報機器は丸投げ
  • 丸投げされてもできることは限られている
  • モデルを書いてやり取りすることでお互いの期待と現実のギャップを理解するのに役立った
  • 適切な粒度でのモデル化→コミュニケーションを可能に
• 質疑応答
  • ITに疎い人にモデルをわかってもらえるものなのか？
    • 今回提示した粒度はわかってもらえた
  • 土日イベントに出た場合の勤務体系はどうなっている？
    • 裁量労働。イベント部局である事務担当は代休取れるけど教員は実際休めない・・・
  • 脅威モデリングに参加したのは誰？
    • オンライン入試関連の人

4. Plot4.aiを使用したAIシステムの脅威モデリングワークショップ

• OWASP Threat Dragon：脅威モデリング向けのお絵描きツール
• PLOT4AI(Privacy Library Of Threats 4 Artificial Intelligence)
  • AIのシステムを開発するにあたっての脅威モデリングのディスカッションツール
  • 分野に応じた質問項目カードがあり、それに対する回答をみんなで話し合う形で脅威モデリングを行う
  • 質問項目の内容は、攻撃よりもプライバシーに重きが置かれており、セキュリティだけでなくシステムとしての脅威も含まれる
  • 1カードに対して2分くらいで回答する形で進めていく
• ワークショップ
  • OWASP Threat Dragonで作成された架空の顔認証システムのDFDに対してみんなで脅威を話し合う
• イベント終了後に講師さんに確認
  • PLOT4AIの各質問はAIを使ったシステム開発のベストプラクティスというわけではない
  • PLOT4AIの質問全部を取り上げる必要はない
  • モデルの絵さえ描ければツールは何でもよい（ペイントやDraw.ioとかでも問題ない）