​脅威モデリングの知見共有を目的としたオープンコミュニティ

​このコミュニティミートアップはスピーカーによる様々なトークをメインに、脅威モデリングに関する知見の共有を目的としたベンダーニュートラルなオープンコミュニティイベントです。自由な議論を推奨します。  

​主催

​脅威モデリングコネクト東京 / Threat Modeling Connect Tokyo Chapter (略称:TMC Tokyo)  

​チャプタースポンサー  

​株式会社セキュリティイニシアティブ (https://security-initiative.co.jp/)

​グローバルコミュニティスポンサー  

​​IriusRisk (https://www.iriusrisk.com/)  

​対象者  

​脅威モデリングに興味のあるすべての方  

​今回のトーク

​タイトル：AWSのID/IAMにおけるアクセス管理と脅威をモデリングしよう！

​スピーカー： Azara (@a_zara_n) / GMO Flatt Security株式会社

​トーク概要：AWSのIAM、IAM Identity Center、そしてGoogle Workspace（GWS）連携を例に、クラウド環境でのID管理とアクセス制御の脅威モデリングを行います。
NIST SP 800-53AやISO/IEC 24760といったID管理標準の観点も交えつつ、ワークロードアクセス、フィッシング、内部犯行、IDの授受など、現実的な攻撃経路を分析します。
最終的には、実践可能なアクセス管理設計・改善の指針を示します。

​タイトル：Threat Modeling AWS architecture

​ スピーカー：Jamil Ahmed / TMC Toronto Chapter Leader
https://www.linkedin.com/in/jamil-ahmed-phd/

​トーク概要：Designing secure architecture as well as designing specifically for the AWS environment securely is a challenge. Even if a software architecture has no security shortcoming but when it is deployed on an AWS environment then the AWS resources can pose some security flaws that are associated with those AWS resources that are used to deploy the architecture. E.g. an S3 bucket is left publicly accessible. Therefore, we need to be not only aware of the typical application level security flaws but also need to be aware of the Threat/Mitigations that are associated by AWS resources.

​First of all, the workshop will give a brief introduction to Threat Modeling and its 4 phases. Secondly, an introduction to STRIDE threat categories.
This workshop will present a checklist of common threats to architectural design. The checklist will also map the threats with STRIDE categories. This checklist with STRIDE mapping will serve as a tool to make Threat Modeling convenient for the practitioners.
An Application Architecture diagram for the AWS environment will be presented and a Threat Model will be generated using step by step approach and leveraging the checklist.

​トーク詳細：The talk will present a few LISTS of Common Threats along with their mitigation. Those lists are already prepared. The lists will include a common architecture threat list and a common AWS architecture threat list. Moreover, each threat list will map the threats with one of the SRIDE categories.

​·       Brief introduction of STRIDE Threat Modeling framework
·       Checklist of Common Architecture Threats and mitigations
·       Checklist of Common AWS Architecture Threats and mitigations
·       Generate a Threat Model of an AWS Architecture using STRIDE & Checklist

​The talk will begin with an Application Architecture diagram and then evolve (lift & shift) the architecture to be implemented in the AWS environment. An evolved diagram of architecture will be presented that uses AWS resources and network components such as VPC, EC2, serverless, and other connectivity resources, etc.

​After the introduction of the architecture diagram, I will build its Threat Model.

​While building the Threat modeling, I will identify the Trust boundaries. Each component or process flow of the diagram will be evaluated using the given checklists to determine whether a threat exists in that process flow or component.

​スケジュール

• ​18:30 受付開始（予定）

• ​19:00 イベントスタート  

  • ​スピーカーによるトーク   

    • ​質疑応答フィードバックコメント随時 

  • ​クロージング

• ​21:30 会場撤収

​行動規範

​1. 尊重の精神

​すべての参加者、講演者、スポンサー、ボランティアは、性別、性的指向、障がい、外見、体サイズ、人種、民族、年齢、宗教、技術選択に関わらず尊重をもって接することを求めます。

​2. ハラスメントの禁止

​以下のようなハラスメント行為はコミュニティ内で許容されません：

• ​性的な言葉や画像の使用

• ​脅迫、ストーカー行為、つきまとい

• ​攻撃的なコメントやジョーク

• ​他人の個人情報の公開  

• ​その他の不適切な行動

​3. 参加者の責任

​ミートアップの参加者は、これらのルールを守る責任があります。ハラスメントを目撃した場合、主催者に報告することが求められます。

​4. 主催者の役割

​主催者は、行動規範に違反する行為に対して適切な対応を行います。これには警告の発令や、ミートアップからの退場命令も含まれます。

​5. 安全な環境の確保

​我々の目標は、すべての人にとって安全でポジティブな経験を提供することです。参加者一人一人がこれに貢献することをお願いします。