サンプル TMA: ファイル アダプター
ここでは、サンプル アーキテクチャのファイル アダプター シナリオ向けの脅威モデル分析 (TMA) について説明します。 次の図は、ファイル アダプタ シナリオのサンプル アーキテクチャを示しています。
図 1. ファイル アダプタ シナリオのサンプル アーキテクチャ
手順 1. 背景情報の収集 (ファイル アダプターのシナリオ)
このセクションでは、サンプル アーキテクチャのファイル アダプタ シナリオ向けのデータ フロー ダイアグラム (DFD) について説明します。
その他の背景情報はすべて、すべての使用シナリオで同じであり、前述の 「サンプル シナリオの背景情報」で説明されています。
データ フロー図
次の図は、ファイル アダプタを使用した場合におけるサンプル アーキテクチャのデータ フロー ダイアグラム (DFD) を示しています。
図 2. ファイル アダプタ シナリオ向けサンプル アーキテクチャの DFD
データ フローは次のとおりです。
パートナーは、イントラネットの境界ネットワーク内のファイル サーバーに (ファイアウォール 1 経由で) メッセージを配置します。
ファイル受信アダプタのインプロセス ホストのインスタンスは、ファイル サーバーを (ファイアウォール 2 経由で) 定期的にポーリングして、新しいメッセージがあるかどうかを確認します。 インスタンスは、新しいメッセージを検出した後、そのメッセージを取得し、初期処理を行ってから、メッセージをメッセージ ボックス データベースに格納します。
メッセージへのサブスクリプションが含まれた処理ホストのインスタンスが、メッセージ ボックス データベースからそのメッセージを取得し、追加処理を行い、メッセージ ボックス データベースにメッセージを戻します。
ファイル送信アダプタが含まれたインプロセス ホストのインスタンスが、メッセージ ボックス データベースからメッセージを取得します。 メッセージは、送信パイプラインでの最終処理を完了してから、ファイアウォール 2 経由でファイル サーバーに送信されます。
パートナーがファイル サーバーからメッセージを取得します。
手順 2. 脅威モデルの作成と分析 (ファイル アダプターのシナリオ)
このセクションでは、サンプル アーキテクチャのファイル アダプタ シナリオに対して実行した TMA の結果を示します。
エントリ ポイント、信頼境界、およびデータのフローを特定する - 「ファイル アダプター シナリオの背景情報を収集する」および「すべてのシナリオの背景情報」で前述した背景情報を参照してください。
特定された脅威の一覧を作成する - DFD 内のすべてのエントリに対して次の分類を使用して、シナリオに対する潜在的な脅威を特定しました。 Spoofing identify、 Tampering with data、 Repudiation、 Information disclosure、 Denial of service、および Elevation of privileges。 次の表は、ファイル アダプタを使用して BizTalk Server との間でメッセージを送受信したときに特定された脅威を示しています。
表 1. 特定された脅威の一覧
| Threat | [説明] | Asset | 影響 |
|---|---|---|---|
| 未認証のユーザーが、ファイル ドロップ フォルダ内のメッセージを取得できる | ファイル アダプタが使用するフォルダに強力な随意アクセス制御リスト (DACL) を設定していない場合、未認証のユーザーがファイル受信場所にメッセージをドロップしたりファイル送信場所のメッセージを取得することがあります。 | メッセージ本文 | データの改ざん 情報漏えい |
| 未認証のユーザーが、BizTalk Server にメッセージを送信できる | BizTalk Server がメッセージを取得するファイル フォルダへの書き込みアクセス許可をユーザーが持っている場合、未認証のユーザーが BizTalk Server にメッセージを送信することがあります。 | メッセージ本文 | Denial of service (サービス拒否) Elevation of privileges (特権の昇格) |
手順 3. 脅威の確認 (ファイル アダプターのシナリオ)
このセクションでは、サンプル アーキテクチャのファイル アダプタ シナリオで特定された脅威に対して実行したリスク分析の結果を示します。 メイン脅威モデル会議の後、脅威を確認し、各脅威のリスクを特定するために次の影響カテゴリを使用しました:Damage potential、Reproducibility、Exploitability、Affected users、Discoverability。
次の表は、ファイル アダプタを使用して BizTalk Server との間でメッセージを送受信したときに特定された脅威のリスクの度合いを示しています。
表 2. 特定された脅威のリスクの度合い
| 脅威 | 影響 | 潜在的な損害 | 再現性 | 悪用性 | 影響を受けたユーザー | Discoverability (探索可能性) | リスクの度合い |
|---|---|---|---|---|---|---|---|
| 未認証のユーザーが、ファイル ドロップ フォルダ内のメッセージを取得できる | データの改ざん 情報漏えい |
4 | 7 | 5 | 4 | 6 | 5.2 |
| 未認証のユーザーが、BizTalk Server にメッセージを送信できる | サービス拒否 Elevation of privileges (特権の昇格) |
4 | 7 | 5 | 4 | 5 | 5.2 |
手順 4. 軽減策の手法を特定する (ファイル アダプターのシナリオ)
このセクションでは、サンプル アーキテクチャのファイル アダプタ シナリオで特定された脅威を緩和する方法について説明します。
次の表は、ファイル アダプタを使用して BizTalk Server との間でメッセージを送受信したときに特定された脅威の緩和方法とテクノロジを示しています。
表 3. 緩和方法とテクノロジ
| 脅威 | 影響 | リスクの度合い | 緩和方法とテクノロジ |
|---|---|---|---|
| 未認証のユーザーが、ファイル ドロップ フォルダ内のメッセージを取得できる | データの改ざん 情報漏えい |
5.2 | BizTalk Server がメッセージを取得するフォルダには、次のように強力な随意アクセス制御リスト (DACL) を使用します。 - 受信アダプターを実行するホストのホスト インスタンスのサービス アカウントの場合は、ファイルの読み取り、書き込み、削除、サブフォルダーとファイルの削除のアクセス許可を、ファイルの受信場所がメッセージを取得するディレクトリに設定します。 - このフォルダーにファイルをドロップする外部ユーザーまたはアプリケーションの場合は、書き込みアクセス許可を設定します。 - BizTalk Administrators グループの場合は、フル コントロールを設定します。 BizTalk Server がメッセージをドロップするフォルダには、次のように強力な DACL を使用します。 - 送信アダプターを実行するホストのホスト インスタンスのサービス アカウントに対して、書き込みアクセス許可を設定します。 - このフォルダーにファイルをドロップする外部ユーザーまたはアプリケーションの場合は、読み取りアクセス許可を設定します。 - BizTalk Administrators グループの場合は、フル コントロールを設定します。 |
| 未認証のユーザーが、BizTalk Server にメッセージを送信できる | サービス拒否 Elevation of privileges (特権の昇格) |
5.2 | 前述のように、受信場所ドロップ ディレクトリに強力な DACL を設定します。 |