シノプシスのセキュリティ?リスク评価では、セキュリティコントロールの欠如または脆弱性を発见し、セキュアな设计のベストプラクティスを理解し、侵入リスクを高めるセキュリティの欠陥を低减するための支援を行います。
设计の欠陥がセキュリティ?インシデントの原因に占める割合
ソフトウェアの开発およびリリースの早期化に対する圧力がこれまで以上に高まる中、ソフトウェア开発ライフサイクル(厂顿尝颁)の早期段阶で対応すべきセキュリティコントロールへの対応が后手に回るケースが多く见られます。
设计段阶でアプリケーションにセキュリティコントロールが组み込まれていない场合、次の问题が生じます。
リスク评価によって以下のことが可能になります。
ネットワーク、サーバー、アプリケーション、アーキテクチャ、データセンター、ツールなど、すべての外部资产および内部资产の関係を文书化します。
リスク?プロファイルを用いることで、资产ごとのリスク回避度またはリスク许容度を把握できます。
现在のセキュリティコントロール(アクセス制御、ファイアウォール、侵入検知、ウイルス対策など)および保存、送信、生成されるデータを资产ごとに把握できます。
リスクを格付けして事业への影响を评価し、修正计画に优先顺位を付けます。
胁威や弱点は、外部?内部の両面から、さまざまなシステム、人、プロセスを通じて発生し、その形态もさまざまです。アプリケーションが直面しているリスクを正确に把握するには、さまざまな角度から検讨することが重要です。
胁威モデリングでは、アプリケーションの構築と実行にユーザーが利用する外部コンポーネントがセキュア设计違反、管理上の構成の不備、セキュリティコントロールの不作為、不正使用の影響をどれくらい受けやすいのかを検討するため、事前に用意された脅威や既知の脅威以外についても検討します。
胁威モデリングについて详细はこちら既知の攻撃方法を用い、详细な依存関係解析を取り入れたアーキテクチャ?リスク评価。主要なコンポーネント、资产、胁威エージェント间の関係を确认してアプリケーション设计上のシステムの欠陥を见つけます。
アーキテクチャ?リスクについて详细はこちら础笔滨、クラウド?インフラストラクチャ、ホステッド型データセンターなど、外部の资产やコンポーネントに関する胁威モデルを作成することで、新しい攻撃形态を予测し、発生确率などの要素によってアプリケーション?リスクに优先顺位を付けることができます。
アーキテクチャ?リスク评価では、胁威、内部资产、设计构造の相関関係をマッピングして解析することで、アプリケーションのアーキテクチャ全体に散在するシステムの欠陥を明らかにし、さらに深く掘り下げた评価を行います。,
胁威モデリングとアーキテクチャ?リスク評価によってアプリケーションの设计を精査することで、従来のテスト方法では見落とされがちな设计上の欠陥をSDLCの早期段階で発見できます。
セキュリティ上のすべての欠陥を直ちに修正できると考えるのは非现実的です。そのため、リスクを格付けして该当するビジネスへの影响を把握することが重要です。
リスクに対する知见を得られれば、予算やリソースが限られている场合でも、优先顺位に従って対策计画を作成し、リスクを低减できます。
机密情报や个人情报を作成、保存、送信する场合、特に重要性の高いデータの保护も确実に行う必要があります。
贬滨笔础础、笔颁滨-顿厂厂、贵滨厂惭础などのコンプライアンス要件适合を目指す场合でも、データ?セキュリティのベストプラクティスの実装を考えている场合でも、リスク评価はデータを保护するための最高水準のセキュリティコントロールの実装に役立ちます。