threat-modeling-expert
セキュアシステム設計のための専門的脅威モデリングの実施
セキュリティチームは、システム設計時に脅威を体系的に特定することに苦戦しています。このスキルは、STRIDEや攻撃ツリーなどの構造化手法を適用し、デプロイ前に脆弱性を特定します。
スキルZIPをダウンロード
Claudeでアップロード
設定 → 機能 → スキル → スキルをアップロードへ移動
オンにして利用開始
テストする
「threat-modeling-expert」を使用しています。 ユーザー名/パスワードを受け取りJWTトークンを返すログインAPIエンドポイントを分析する
期待される結果:
STRIDE Analysis Results:
- Spoofing: Credential brute-forcing, session hijacking via stolen tokens
- Tampering: Token manipulation, request interception and modification
- Repudiation: Missing audit logs for authentication events
- Information Disclosure: Credentials in transit, error messages revealing valid usernames
- Denial of Service: Rate limiting gaps, account lockout bypass
- Elevation of Privilege: Token privilege escalation, role manipulation
Top Priority: Implement rate limiting, secure token storage, and comprehensive auth logging.
「threat-modeling-expert」を使用しています。 Eコマースプラットフォームから顧客決済データを盗むための攻撃ツリーを構築する
期待される結果:
Attack Tree Root: Steal Payment Data
├─ Compromise Application Layer
│ ├─ SQL injection on checkout form
│ ├─ XSS to capture card entry
│ └─ API abuse to enumerate transactions
├─ Compromise Infrastructure
│ ├─ Intercept network traffic
│ ├─ Access database backups
│ └─ Exploit logging systems
└─ Social Engineering
├─ Phishing support staff
└─ Impersonate legitimate users
Recommended Controls: Input validation, WAF rules, encryption at rest, network segmentation, staff training
セキュリティ監査
安全This skill contains documentation-only content (SKILL.md) describing threat modeling methodologies. All 7 static analysis findings for 'Weak cryptographic algorithm' and 'System reconnaissance' are false positives caused by security terminology in documentation text matching pattern detectors. No executable code, cryptographic operations, or actual reconnaissance capabilities exist. Safe for publication.
検出されたパターン
品質スコア
作れるもの
セキュリティアーキテクチャレビュー
開発開始前に脆弱性を特定するため、システム設計フェーズで包括的な脅威モデリングを実施します。
攻撃表面分析
潜在的なエクスプロイト経路を理解し、防御に優先順位を付けるために、重要機能に対する攻撃ツリーを構築します。
セキュリティ文書化
コンプライアンス監査やオペレーションチームへの引継ぎのために、構造化された脅威モデルとセキュリティ要件を生成します。
これらのプロンプトを試す
STRIDE手法を使用してこのシステムDescriçãoを分析してください:[システムの説明]。各STRIDEカテゴリについて、1文の説明で潜在的な脅威をリストしてください。
これは私のデータフロー図です:[データフロー、信頼境界線、コンポーネントの説明]。各データフローとコンポーネントにSTRIDEを適用してください。特定された各脅威について、リスクスコア(1-5)と推奨される緩和策を提供してください。
このシナリオの攻撃ツリーを構築してください:[攻撃目標の説明、例:'ユーザーデータベースへの不正アクセス']。ルート目標から開始し、メインペス攻撃を第1レベルのノードとして特定し、各パスを特定のテクニックで展開してください。葉ノードには発生確率の評価を含んでください。
この脅威モデルに基づいて:[脅威の説明を貼り付け]、特定されたリスクごとに具体的なセキュリティ要件を抽出してください。各要件を次の形式でフォーマットしてください:'システムは[アクション]を行い、[脅威]を防止/緩和する'。機能領域ごとに要件を整理し、リスクスコアで優先順位付けてください。
ベストプラクティス
- 正確なシステム理解のため、開発者とアーキテクテクトを脅威モデリングセッションに参加させてください
- コンポーネントリストよりもデータフローと信頼境界線に分析を集中させてください
- 主要なアーキテクチャ変更や新機能追加のたびに脅威モデルをを更新してください
回避
- プロジェクト開始時に1回だけ脅威モデリングを実施し、フォローアップレビューを行わないこと
- 保守不可能なドキュメントとなる過度に詳細な攻撃ツリーを作成すること
- 特定の緩和策や所有者とリンクせずに脅威を特定すること