シノプシスのセキュリティ?リスク评価では、セキュリティコントロールの欠如または脆弱性を発见し、セキュアな设计のベストプラクティスを理解し、侵入リスクを高めるセキュリティの欠陥を低减するための支援を行います。
50%
设计の欠陥がセキュリティ?インシデントの原因に占める割合
アプリケーション设计にセキュリティを组み込む
ソフトウェアの开発およびリリースの早期化に対する圧力がこれまで以上に高まる中、ソフトウェア开発ライフサイクル(厂顿尝颁)の早期段阶で対応すべきセキュリティコントロールへの対応が后手に回るケースが多く见られます。
设计段阶でアプリケーションにセキュリティコントロールが组み込まれていない场合、次の问题が生じます。
- 悪意のある攻撃者に対する防御の不备
- 内外の胁威に対する防御の脆弱化
- データ侵害などの有害な胁威イベントの発生确率の上昇
セキュリティ?インシデントを抑制するリスク评価方法
リスク评価によって以下のことが可能になります。
资产を洗い出す
ネットワーク、サーバー、アプリケーション、アーキテクチャ、データセンター、ツールなど、すべての外部资产および内部资产の関係を文书化します。
リスク?プロファイルを作成する
リスク?プロファイルを用いることで、资产ごとのリスク回避度またはリスク许容度を把握できます。
セキュリティコントロールを理解する
现在のセキュリティコントロール(アクセス制御、ファイアウォール、侵入検知、ウイルス対策など)および保存、送信、生成されるデータを资产ごとに把握できます。
対策に优先顺位を付ける
リスクを格付けして事业への影响を评価し、修正计画に优先顺位を付けます。
异なる视点からリスクを评価
胁威や弱点は、外部?内部の両面から、さまざまなシステム、人、プロセスを通じて発生し、その形态もさまざまです。アプリケーションが直面しているリスクを正确に把握するには、さまざまな角度から検讨することが重要です。
外部のセキュリティ胁威
外部からの视点でリスクを调査して外部コンポーネントの弱点を発见
胁威モデリングでは、アプリケーションの構築と実行にユーザーが利用する外部コンポーネントがセキュア设计違反、管理上の構成の不備、セキュリティコントロールの不作為、不正使用の影響をどれくらい受けやすいのかを検討するため、事前に用意された脅威や既知の脅威以外についても検討します。
胁威モデリングについて详细はこちら内部アーキテクチャ?リスク
内部からの视点でリスクを検査し、奥深くに潜む设计上の欠陥を発见
既知の攻撃方法を用い、详细な依存関係解析を取り入れたアーキテクチャ?リスク评価。主要なコンポーネント、资产、胁威エージェント间の関係を确认してアプリケーション设计上のシステムの欠陥を见つけます。
アーキテクチャ?リスクについて详细はこちら
厂顿尝颁の早期段阶で设计上の欠陥を発见
础笔滨、クラウド?インフラストラクチャ、ホステッド型データセンターなど、外部の资产やコンポーネントに関する胁威モデルを作成することで、新しい攻撃形态を予测し、発生确率などの要素によってアプリケーション?リスクに优先顺位を付けることができます。
アーキテクチャ?リスク评価では、胁威、内部资产、设计构造の相関関係をマッピングして解析することで、アプリケーションのアーキテクチャ全体に散在するシステムの欠陥を明らかにし、さらに深く掘り下げた评価を行います。,
胁威モデリングとアーキテクチャ?リスク評価によってアプリケーションの设计を精査することで、従来のテスト方法では見落とされがちな设计上の欠陥をSDLCの早期段階で発見できます。
リスクを格付けして修正事项に优先顺位付け
セキュリティ上のすべての欠陥を直ちに修正できると考えるのは非现実的です。そのため、リスクを格付けして该当するビジネスへの影响を把握することが重要です。
リスクに対する知见を得られれば、予算やリソースが限られている场合でも、优先顺位に従って対策计画を作成し、リスクを低减できます。
コンプライアンス要件を遵守してデータを保护
机密情报や个人情报を作成、保存、送信する场合、特に重要性の高いデータの保护も确実に行う必要があります。
贬滨笔础础、笔颁滨-顿厂厂、贵滨厂惭础などのコンプライアンス要件适合を目指す场合でも、データ?セキュリティのベストプラクティスの実装を考えている场合でも、リスク评価はデータを保护するための最高水準のセキュリティコントロールの実装に役立ちます。
関连コンテンツ
実践:胁威モデリング
