メインコンテンツへ
セキュリティセキュリティ実践

脅威モデリング手法STRIDEの各頭文字が表す脅威カテゴリとして正しいものはどれか。

ア.S:SQL注入、T:トロイの木馬、R:ランサムウェア、I:不正侵入、D:データ漏洩、E:盗聴
イ.S:スパム、T:フィッシング、R:リプレイ攻撃、I:情報窃取、D:分散型攻撃、E:傍受
ウ.S:なりすまし、T:改ざん、R:否認、I:情報漏洩、D:サービス妨害、E:特権昇格正解
エ.S:サービス妨害、T:傍受、R:ランサムウェア、I:注入攻撃、D:データ削除、E:エクスプロイト

解説

STRIDEは「脅威の6大悪党リスト」みたいなもの。Spoofing(変装した詐欺師)、Tampering(改ざん犯)、Repudiation(「やってない」と言い張る人)、Information Disclosure(秘密を漏らすスパイ)、Denial of Service(妨害工作員)、Elevation of Privilege(権限泥棒)。この6人を設計段階で想定することで先手を打てる!

なぜ ウ が正解か

STRIDEの正確な定義(Microsoft開発):S = Spoofing(なりすまし):正当なエンティティを偽装する。T = Tampering(改ざん):データやコードを不正に変更する。R = Repudiation(否認):行為の実行を否定する(ログ改ざん等)。I = Information Disclosure(情報漏洩):不正にデータを読み取る。D = Denial of Service(サービス妨害):正当なユーザのアクセスを妨げる。E = Elevation of Privilege(特権昇格):権限なしに高権限を獲得する。各システムコンポーネントにSTRIDEを適用して脅威を洗い出す。

なぜ ア は間違いか

SQL注入・トロイの木馬・ランサムウェアなどは具体的な攻撃手法であり、STRIDEの脅威カテゴリ(抽象度が高い分類)とは異なる。STRIDEはもっと上位の概念。

なぜ イ は間違いか

スパム・フィッシング・リプレイ攻撃なども具体的な攻撃の名前。STRIDEは「なりすまし・改ざん・否認・情報漏洩・妨害・特権昇格」という分類軸であり、具体的攻撃名ではない。

なぜ エ は間違いか

DをDenial of Serviceでなくデータ削除、EをElevation of PrivilegeでなくExploitとしている点が誤り。STRIDEはMicrosoftが定義した固有の用語であり、各文字の意味は固定されている。

出典: AI生成問題(学習用)