PASTA（攻撃シミュレーションおよび脅威分析プロセス）脅威モデリング手法では、脆弱性とエクスプロイトの分析は攻撃モデリングのステップで実行されます。このステップでは、システム内の潜在的な脅威と脆弱性を特定し、それらがどのように悪用される可能性があるかを把握します。
* 攻撃モデリングは、特定された脆弱性に基づいて攻撃をシミュレーションすることに重点を置いた重要なフェーズです。これにより、アプリケーションのアーキテクチャとシステム設計の文脈における脅威を深く理解することができます。
* このフェーズでは、セキュリティアナリストはシステムの技術的範囲とアプリケーションの分解に関する知識を活用し、攻撃者がシステムの脆弱性をどのように悪用するかをシミュレートします。これは、リスクの優先順位付けと適切な軽減戦略の策定に役立ちます。
* 攻撃モデリングの目的は、脆弱性を特定するだけでなく、システムやビジネスに対するエクスプロイトの潜在的な影響を理解することであり、これは堅牢なセキュリティ体制を構築するために不可欠です。
参考資料：本情報は、VerSprite1やOWASP Foundation2などのリソースで説明されているPASTA手法に準拠しています。これらのリソースでは、PASTAの7つの段階が詳細に説明されており、攻撃モデリングはプロセスの重要な要素となっています。

共通脆弱性評価システム (CVSS) では、次の範囲を使用して脆弱性の重大度評価を決定します。
* 0.1 - 3.9: 低重症度
* 4.0 - 6.9: 中程度の重症度
* 7.0 - 8.9: 重症度が高い
* 9.0 - 10.0: 重大な深刻度
脆弱性の調整されたスコアは 5.9 であるため、重大度は「高」の範囲に該当します。
参考文献:
CVSS v3.1 仕様書 - FIRST: https://www.first.org/cvss/specification-document National Vulnerability Database (NVD) - NIST: https://nvd.nist.gov/vuln-metrics/cvss

防御策が講じられておらず、アプリケーションをエクスプロイトにさらす可能性のある、特定された脅威を分類するカテゴリは、「未軽減の脅威」です。この用語は、対策や緩和策が実施されていない脆弱性を指します。これらの脅威は、攻撃者が悪用できる実際の弱点を表しているため、非常に重要です。安全なソフトウェア設計の観点からは、SDLCの早い段階でこれらの脅威を特定し、適切なセキュリティ対策を設計・実装して、脅威から保護することが不可欠です。
:
アプリケーション セキュリティに対するサイバー脅威の分類と適用可能な防御策 1.
OWASP Foundation の脅威モデル化プロセス2。
永続的なアプリケーション セキュリティの脅威の軽減3.