Developer-enabled Threat Modeling: Owning Your Role in Risk-averse Design
- 作者:Tarandach, Izar,Coles, Matthew J.
- 発売日: 2021/01/12
- メディア: ペーパーバック
オライリーからの脅威モデリングの新しめの本。
2014年の書籍より、システムをモデリングすることから話を始めているので、モデリング言語に関する用語を平易に、広い範囲で説明してくれています。例えばDFDの記法など…。
機械学習などの新しい話も扱ってくれています。
また、セキュリティについて学ぶ様々なゲームが紹介されていたのも面白かったです。
セキュリティを学ぶために色々なカードゲームがあるようです。利用方法は、学びのパターンランゲージのような感じでした。
ワークに使ってみると面白そうなツール
- The Elevation of Privilege Threat Modeling Card Deck : https://github.com/adamshostack/eop/
- OWASP Cornucopia : https://owasp.org/www-project-cornucopia/
- Security and Privacy Threat Discovery Cards : http://securitycards.cs.washington.edu/
- LINDDUN GO : https://www.linddun.org/go
モデリングの話が多めなので、私は結構とっつきやすい印象を受けました。読む順としては、モデリングのスキルが高い人はこちらから読むのがおススメです。