DevOpsにおいて効率的にセキュリティ品質確保を行う技術の研究
Project/Area Number |
21K11895
|
Research Category |
Grant-in-Aid for Scientific Research (C)
|
Allocation Type | Multi-year Fund |
Section | 一般 |
Review Section |
Basic Section 60070:Information security-related
|
Research Institution | Institute of Information Security |
Principal Investigator |
大久保 隆夫 情報セキュリティ大学院大学, その他の研究科, 教授 (80417518)
|
Co-Investigator(Kenkyū-buntansha) |
海谷 治彦 神奈川大学, 理学部, 教授 (30262596)
|
Project Period (FY) |
2021-04-01 – 2024-03-31
|
Project Status |
Granted (Fiscal Year 2022)
|
Budget Amount *help |
¥4,030,000 (Direct Cost: ¥3,100,000、Indirect Cost: ¥930,000)
Fiscal Year 2023: ¥1,170,000 (Direct Cost: ¥900,000、Indirect Cost: ¥270,000)
Fiscal Year 2022: ¥1,040,000 (Direct Cost: ¥800,000、Indirect Cost: ¥240,000)
Fiscal Year 2021: ¥1,820,000 (Direct Cost: ¥1,400,000、Indirect Cost: ¥420,000)
|
Keywords | DevOps / セキュリティ / 効率化 / Attack Defense Trees / CAPEC / CWE / プロセスマイニング / Attack-Defence Tree / 脅威分析 / 省力化 / 要求策定 / 開発運用 |
Outline of Research at the Start |
本研究では、ソフトウェアの開発と運用サイクルの一手法であるDevOpsにおける実用的なセキュリティ品質確保手法についての研究を行う。本研究は、、次の方針に基づき研究を行う。 ・運用情報からセキュリティ要求仕様に必要な情報を自動的に抽出し、セキュリティ要求仕様に反映 ・適切にセキュリティ品質を確保する、運用のためのセキュリティ要求仕様の策定方法 ・DevOpsにおける脅威分析の自動化/効率化 本研究により、運用で生じるセキュリティ課題を確実に次の開発でセキュリティ運用に反映させ、かつ開発の迅速さを維持しつつ適切なセキュリティ品質を保証することが可能となる。
|
Outline of Annual Research Achievements |
本研究は、DevOpsにおけるセキュリティの効率的な分析手法について研究することを目的としているものである。 2021年度は、脅威分析手法の一tで、攻撃と対策の関係を記述可能なAttack Defense Treesとプロセスマイニングによる効率的なDevOps向けのセキュリティ確保手法について検討したが、2022年度は、2021年度に開発したこの手法を完成し、国際会議KES2022(イタリア、ベローナ、2022年9月)のワークショップにおいて提案を行った。提案手法は、DevOpsの最初の開発時に脅威分析によって開発者が構築したAttack Defense Treesを以降の繰り返しでは差分のみ参照するようにして、毎回脅威分析を1から行う手間を省力化することを狙っている。 また、運用(Ops)で検出された異常をログなどから抽出し、その異常からCommon Attack Pattern Enumeration and Classification (CAPEC),Common Weakness Exposure(CWE)の知識ベースを利用して脅威→攻撃→脆弱性→対策の順に導出していき、最終的に次のセキュリティ要件に追加していく手法である。 また、この手法を実現するツールとして、情報セキュリティ大学院大学においては、Attack Treeのパターン化と再利用の研究を進めた。その結果、知識ベースCAPECから攻撃対象と攻撃要件を自動抽出することにより、パターン化が高精度に行えることが分かった。この成果は2022年コンピュータセキュリティシンポジウム(CSS2022)において発表し、研究奨励賞を受賞した。
|
Current Status of Research Progress |
Current Status of Research Progress
2: Research has progressed on the whole more than it was originally planned.
Reason
セキュアなDevOps開発を効率化する全体的な手法については、2年目までで、Attack Defense Treeの差分と、知識ベースを活用して分析を支援する手法を提案した。また、分析を支援するためのツールについても、Attack Treeについて分析し、CAPECを用いてパターン化に成功し、再利用、効率化を進めるためのツールが、一部完成した。
|
Strategy for Future Research Activity |
提案手法を支援スルツールについては、CAPECを用いたAttack Treeのパターン化まではできているので、今後はこれを提案で用いるAttack Defense Treesに展開できるように拡張する予定である。また、CAPECだけでなくCWEを用いることで、よりよいパターン化ができる見込みができているので、その実現を進め、完成したツールについて実際にDevOpeの現場で有効かの評価を行う予定である。
|
Report
(2 results)
Research Products
(2 results)