業務視点で捉える脅威の抽出とリスク分析実践

・対象となる業務やシステムにおいて、実務で脅威分析の検討を担う方
・体系的なセキュリティリスク分析の手法を習得したい方
・システムのセキュリティ要件定義や上流工程を担うシステムアーキテクトや設計者
・業務視点・利用者視点でシステムのリスクを評価する必要があるプロジェクトマネージャー（PM）やITコンサルタント
・組織内のセキュリティ評価やリスク分析を牽引するセキュリティエンジニア

ご受講に際し、下記の知識・経験があることを推奨いたします。
・業務分析・要件定義の基礎知識と経験がある方
・基礎的なシステム構成の知識がある方
・情報セキュリティの基礎的な概念を理解している方

当コースを修了した時点で、次のことができることを目標とします。
・脅威分析の対象範囲を整理できる
・業務視点・利用者視点で対象を把握できる
・データフロー図を用いて情報の流れを可視化できる
・STRIDEの観点で代表的脅威を洗い出せる
・脅威をマトリクス表に整理し、抜け漏れを確認できる

１．オリエンテーション
　研修の目的と進め方

２．業務フロー整理
　【講義】：脅威分析のベースとして業務を整理、業務フロー整理の基本、定常業務・非定常業務・緊急事態、人の作業とシステム処理の分け方
　【演習】：対象業務の主要プロセスを時系列で整理

３．ステークホルダーの洗い出し
　【講義】：ステークホルダーとは何か、被害を受ける主体、攻撃起点となり得る主体の考え方
　【演習】：ステークホルダーの洗い出しと、役割、関与場面、利用情報などの整理

４．ユースケース作成
　【講義】：ユースケースの考え方、目的の整理
　【演習】：主要ユースケースを整理、重要機能に絞って記述

５．簡易データフロー図（データフロー図）作成
　【講義】：データフロー図の目的、データフローの基本、信頼境界の考え方
　【演習】：業務フローとユースケースをもとに簡易データフロー図作成

６．STRIDE分析
　【講義】：STRIDEの6分類、代表的脅威例、脅威記述の基本
　【演習】：データフロー図から脅威を洗い出し、想定される被害や原因を特定

７．マトリクス表作成
　【講義】：マトリクス表の役割、マトリクス表の設計例、優先順位づけから対策検討
　【演習】：マトリクス表作成

８．まとめ、質疑応答

ITSS：ITスペシャリスト システム管理 レベル4

ITSS：ITサービスマネジメント システム管理 レベル4