# セキュリティ脅威モデリング(STRIDE分析) — 運用ガイド

## 基本情報

| 項目 | 内容 |
|------|------|
| 業種 | IT・開発 |
| ユースケース | セキュリティ脅威モデリング(STRIDE分析) |
| WFパターン | `start → knowledge-retrieval(OWASP/STRIDE検索) → llm(脅威分析) → template(マトリクス整形) → end` |
| RAG | あり |
| 検証結果 | E2E pass |
| デモURL例 | http://localhost/workflow/DDPdHM4TJ67bJUgq |

## 概要

システム構成と主要コンポーネントを入力として、STRIDEフレームワークで脅威を列挙し緩和策を提案する。

## デモ手順

1. DDF Web UI (`/dashboard`) を開く
2. 「セキュリティ脅威モデリング(STRIDE分析)」の「デモ生成」ボタンをクリック
3. 業種「IT・開発」、UC「セキュリティ脅威モデリング(STRIDE分析)」が自動入力される
4. 「デモ生成開始」をクリック
5. 生成完了後、デモURLを顧客に共有

## ナレッジベース（RAG）

このワークフローにはナレッジベースが必要です。

### 同梱ドキュメント

`knowledge/` フォルダに以下のテキストファイルが保存されています:

- `OWASP_Top10_STRIDE_チートシート.txt`

### デプロイ手順

1. Dify管理画面 → ナレッジ → 新規作成
2. 上記テキストファイルをアップロード
3. インデキシング完了を待つ
4. WFのKRノードで作成したナレッジベースを選択

またはDDFパイプラインで自動セットアップ:
```
run_pipeline(knowledge_docs=[...])  # 自動でKB作成+ID注入
```

**顧客デモ時は、顧客の実ドキュメントに差し替えるとインパクトが大きくなります。**


## テスト入力例

### 入力例1
```
システム構成: React SPA + Node.js API + PostgreSQL + Redis(セッション) + AWS S3(ファイル)。認証: JWT（LocalStorage保存）。外部連携: Stripe決済API、SendGridメール。管理画面: 同一ドメイン/admin。通信: HTTPS（CloudFront→ALB→ECS）。データ: 個人情報（氏名・住所・クレジットカード番号の下4桁）を保持。
```


## 顧客への説明ポイント

- 「これは自動生成されたプロトタイプです。本番利用には追加の設計・開発が必要です」
- 「御社の実データ/ドキュメントを使えば、さらに精度の高いデモをお見せできます」
- 「Self-hostedなので、御社のデータは外部に出ません」

## AI品質評価コメント

出力は、入力されたシステム構成（React SPA, Node.js API, PostgreSQL, Redis, AWS S3, JWT LocalStorage, Stripe決済, 個人情報保持など）に具体的に言及し、STRIDEフレームワークに沿って非常に詳細な脅威分析を提供しています。各脅威に対する説明、リスクレベル、具体的な緩和策、およびOWASP Top 10との関連付けが明瞭に示されており、構造化された高品質な内容です。特に、JWTのLocalStorage保存のリスクやクレジットカード番号下4桁の保持といった入力固有の要素に対する具体的な指摘と緩和策が優れており、汎用的なテンプレートではなく、入力に基づいた具体的な分析がなされているため、顧客デモとして十分な品質を満たしています。

## 次のステップ（受託提案）

1. 顧客の実データでカスタマイズデモ（POC: 5-10万円）
2. 本番環境設計・構築（受託開発）
3. 既存システム（kintone/Salesforce等）とのAPI連携
4. 運用保守サポート
