セキュリティ対策における定番の設計パターン
Matsunami, Masaru
みなさま
松並@DNVGLです。脅威分析して防御が不足することが分かったとき、
何らかの設計対策(もう少し広げると何らかのリスク対応)をすることになります。
そこで「定番の設計パターン」を探して再利用したくなるわけですけれども、
検索ワードが分かりません。セキュリティパターン、セキュアデザインパターン、
ベストプラクティス、管理策といったいくつもの該当しそうな用語があるようです。
そこで質問1です。↓のようなレベルの設計パターンは何と呼ぶものなのでしょうか?
設計パターン:QRコードでSecretをスマホ(アプリ)と共有する
注意点:ユーザー等の意図した人物以外にSecretが見られない工夫が必要
メリット:Secretを人間が手入力する必要がないので強固なSecretを設定できる
UIを持たない機器でも強固なSecretを設定できる
デメリット:固定Secretの場合、一度漏洩した場合の手当て(または受容)が必要
例:AtermらくらくQRスタート
http://www.aterm.jp/product/atermstation/special/rakuraku_qr/
セキュリティをあまり勉強していない開発者でも、そのまま真似して設計・実装すれば
セキュリティをだいたい確保できてしまうような再利用パターンを意図しています。
Wi-FiやBTといった技術単位に整備されていると、
とっつきやすさと再利用性が高くなるのではないかと思います。
このようなパターン集があると嬉しいなぁと思うわけです。
次に質問2です。↑の粒度の再利用パターンを集めるよい方法はないでしょうか?
もしくはすでにこんなのがあるよというのがありましたらご教授ください。
----
松並 勝 <masaru.m...@dnvgl.com>
機能安全部 / サイバーセキュリティグループ
DNV GL - Business Assurance Japan
https://www.dnvgl.jp/assurance/
**************************************************************************************
This e-mail and any attachments thereto may contain confidential information and/or information protected by intellectual property rights for the exclusive attention of the intended addressees named above. If you have received this transmission in error, please immediately notify the sender by return e-mail and delete this message and its attachments. Unauthorized use, copying or further full or partial distribution of this e-mail or its contents is prohibited.
**************************************************************************************
Kenji Taguchi
Matsunami, Masaru
田口先生、みなさま
松並です。お返事ありがとうございます。
情報ありがとうございます!ちょっと業務で余裕がなくなってきましたので、
余裕ができたら頂いた情報源を勉強してみようと思います。
(組込み向けのものがあるとよいのですけどね。。。)
松並
--
このメールは Google グループのグループ「脅威分析研究会 SIGSTA」に登録しているユーザーに送られています。
このグループから退会し、グループからのメールの配信を停止するには sigsta+un...@googlegroups.com
にメールを送信してください。
その他のオプションについては https://groups.google.com/d/optout
にアクセスしてください。