サンプル TMA: FTP アダプター
このトピックでは、サンプル アーキテクチャの FTP アダプター シナリオ向けの脅威モデル分析 (TMA) について説明します。
次の図は、FTP アダプタ シナリオのサンプル アーキテクチャを示しています。
図 1. FTP アダプタ シナリオのサンプル アーキテクチャ
手順 1. 背景情報の収集 (FTP アダプター シナリオ)
このセクションでは、サンプル アーキテクチャの FTP アダプタ シナリオ向けのデータ フロー ダイアグラム (DFD) について説明します。
その他の背景情報はすべて、すべての使用シナリオで同じであり、前に「 サンプル シナリオの背景情報」で説明されています。
データ フロー図
次の図は、FTP アダプタを使用した場合におけるサンプル アーキテクチャのデータ フロー ダイアグラム (DFD) を示しています。
図 2. FTP アダプタ シナリオ向けサンプル アーキテクチャの DFD
データ フローは次のとおりです。
パートナーまたは顧客が FTP サーバーにメッセージを送信します。 メッセージはファイアウォール 1 の IP アドレスにルーティングされます。
ファイアウォール 1 はメッセージを受信し、インターネット境界ネットワークに配置された FTP サーバーにルーティングします。
FTP 受信アダプタのインプロセス ホストのインスタンスは、FTP サーバーを (ファイアウォール 2 経由で) 定期的にポーリングして、新しいメッセージがあるかどうかを確認します。 インスタンスは、新しいメッセージを検出した後、そのメッセージを取得し、初期処理を行ってから、メッセージをメッセージ ボックス データベースに格納します。
メッセージへのサブスクリプションが含まれた処理ホストのインスタンスが、メッセージ ボックス データベースからそのメッセージを取得し、追加処理を行い、メッセージ ボックス データベースにメッセージを戻します。
FTP 送信アダプタが含まれたインプロセス ホストのインスタンスが、メッセージ ボックス データベースからメッセージを取得します。 メッセージは、送信パイプラインでの最終処理を完了してから、ファイアウォール 2 経由で FTP サーバーに送信されます。
その後、FTP サーバーがファイアウォール 1 経由でパートナーまたは顧客にメッセージをルーティングします。
手順 2. 脅威モデルの作成と分析 (FTP アダプター シナリオ)
このセクションでは、サンプル アーキテクチャの FTP アダプタ シナリオに対して実行した TMA の結果を示します。
エントリ ポイント、信頼境界、およびデータフローを特定する - 前の手順 1 と 「サンプル シナリオの背景情報」で説明した背景情報を参照してください。
特定された脅威の一覧を作成する - DFD 内のすべてのエントリに対して次の分類を使用して、シナリオに対する潜在的な脅威を特定しました。 Spoofing identify、 Tampering with data、 Repudiation、 Information disclosure、 Denial of service、 Elevation of privileges。 次の表は、FTP アダプタを使用して BizTalk Server との間でメッセージを送受信したときに特定された脅威を示しています。
表 1 特定された脅威の一覧
| Threat | [説明] | Asset | 影響 |
|---|---|---|---|
| FTP プロトコルがセキュリティで保護されていない | FTP プロトコルのユーザー ID とパスワードはクリア テキストとして送信されます。 悪意のあるユーザーがネットワークを監視して資格情報にアクセスすることがあります。 その結果、データが公開されることになります。 | ユーザーの資格情報 | ID 偽装 データの改ざん 情報漏えい |
| FTP サーバーが、未認証の DHCP サーバーの攻撃に対して脆弱である | URI にユーザーのパスワードが含まれていなくても、ハンドラで指定されている場合、実行時にハンドラから FTP サーバーにパスワードが送信されます。 認証要求をリッスンしている未認証の FTP サーバーがある場合、この方法でパスワードが盗まれる可能性があります。 解決策の 1 つは、ハンドラ レベルでのパスワードの使用の有効と無効を切り替えることです。 | FTP サーバー | ID 偽装 データの改ざん 情報漏えい |
手順 3. 脅威の確認 (FTP アダプター のシナリオ)
このセクションでは、サンプル アーキテクチャの FTP アダプタ シナリオで特定された脅威に対して実行したリスク分析の結果を示します。 メイン脅威モデル会議の後、脅威を確認し、次の影響カテゴリを使用して、各脅威のリスクを特定しました:Damage potential、Reproducibility、Exploitability、Affected users、Discoverability。
次の表は、FTP アダプタを使用して BizTalk Server との間でメッセージを送受信したときに特定された脅威のリスクの度合いを示しています。
表 2. 特定された脅威のリスクの度合い
| 脅威 | 影響 | 潜在的な損害 | 再現性 | 悪用性 | 影響を受けたユーザー | Discoverability (探索可能性) | リスクの度合い |
|---|---|---|---|---|---|---|---|
| FTP プロトコルがセキュリティで保護されていない | ID 偽装 データの改ざん 情報漏えい |
9 | 9 | 2 | 10 | 5 | 7 |
| FTP サーバーが、未認証の DHCP サーバーの攻撃に対して脆弱である | ID 偽装 データの改ざん 情報漏えい |
5 | 5 | 2 | 10 | 5 | 5.4 |
手順 4. 軽減手法の特定 (FTP アダプター のシナリオ)
このセクションでは、サンプル アーキテクチャの FTP アダプタ シナリオで特定された脅威を緩和する方法について説明します。
次の表は、FTP アダプタを使用して BizTalk Server との間でメッセージを送受信したときに特定された脅威の緩和方法とテクノロジを示しています。
表 3. 緩和方法とテクノロジ
| 脅威 | 影響 | リスクの度合い | 緩和方法とテクノロジ |
|---|---|---|---|
| FTP プロトコルがセキュリティで保護されていない | ID 偽装 データの改ざん 情報漏えい |
7 | FTP アダプタは、セキュリティで保護された環境内で、またセキュリティで保護された回線で使用する必要があります。 |
| FTP サーバーが、未認証の DHCP サーバーの攻撃に対して脆弱である | ID 偽装 データの改ざん 情報漏えい |
5.4 | リモート FTP サーバーを安全な場所に配置することをお勧めします。 このサーバーの物理的なセキュリティとネットワークのセキュリティを確保して、未認証の DHCP サーバーの攻撃を最小限に抑える必要があります。 |