セキュリティ
脅威モデリング手法STRIDEの各頭文字が表す脅威カテゴリとして正しいものはどれか。
ア.S:SQL注入、T:トロイの木馬、R:ランサムウェア、I:不正侵入、D:データ漏洩、E:盗聴
イ.S:スパム、T:フィッシング、R:リプレイ攻撃、I:情報窃取、D:分散型攻撃、E:傍受
ウ.S:なりすまし、T:改ざん、R:否認、I:情報漏洩、D:サービス妨害、E:特権昇格正解
エ.S:サービス妨害、T:傍受、R:ランサムウェア、I:注入攻撃、D:データ削除、E:エクスプロイト
解説
STRIDEは「脅威の6大悪党リスト」みたいなもの。Spoofing(変装した詐欺師)、Tampering(改ざん犯)、Repudiation(「やってない」と言い張る人)、Information Disclosure(秘密を漏らすスパイ)、Denial of Service(妨害工作員)、Elevation of Privilege(権限泥棒)。この6人を設計段階で想定することで先手を打てる!
なぜ ウ が正解か
STRIDEの正確な定義(Microsoft開発):S = Spoofing(なりすまし):正当なエンティティを偽装する。T = Tampering(改ざん):データやコードを不正に変更する。R = Repudiation(否認):行為の実行を否定する(ログ改ざん等)。I = Information Disclosure(情報漏洩):不正にデータを読み取る。D = Denial of Service(サービス妨害):正当なユーザのアクセスを妨げる。E = Elevation of Privilege(特権昇格):権限なしに高権限を獲得する。各システムコンポーネントにSTRIDEを適用して脅威を洗い出す。
出典: AI生成問題(学習用)