情報爆発に対応する高度にスケーラブルでセキュアなソフトウェア構成・更新方式

2010 Fiscal Year Annual Research Report

• Project Area: Cyber Infrastructure for the Information-explosion Era
• Project/Area Number: 18049027
• Research Institution: The University of Tokyo
• Principal Investigator: 柴山 悦哉 東京大学, 情報基盤センター, 教授 (80162642)
• Co-Investigator(Kenkyū-buntansha): 千葉 滋 東京工業大学, 大学院・情報理工学研究科, 教授 (80282713) ; 渡部 卓雄 東京工業大学, 大学院・情報理工学研究科, 准教授 (20222408) ; 河野 健二 慶應義塾大学, 理工学部, 准教授 (90301118)
• Keywords: アスペクト指向 / 開発環境 / ソフトウェア検証 / テスト自動化 / オーバーレイネットワーク / コンテンツ配信 / Webアプリケーション / セキュリティ

Research Abstract

セキュアなソフトウェアを構築するための個々の技術が完全ではないことを前提に、ソフトウェア検証、ソフトウェアテスト、実行時のソフトウェア更新、分散型情報配信の各要素技術を組み合わせる多重防御の方式を検討し、さらに各要素技術の研究および各要素技術を実装したツールの開発などを行った。
このうちソフトウェアテストに関しては、昨年度まで取り組んできたWebアプリケーションのセキュリティテストを自動的に行う方式を発展させ、セキュリティテストに適したテストケースの網羅的生成を効率的に行うための枝刈り手法を考案するとともに、その有効性を現実的なWebアプリケーションを対象とした実証実験により示した。この枝刈り手法は、データの流れを静的および動的に解析することで、Webアプリケーションに与えられた入力リクエストがセキュリティ上重要な操作に影響を及ぼす可能性があるかどうかを判定し、そのような可能性のないテストケースの生成を抑制する。実験にあたっては、既知の脆弱性がUS-Certに報告されている数千行から一万数千行規模のWebアプリケーションを対象として用いた。
その他の要素技術についても、この特定領域研究で配備した広域分散型のクラスタInTriggerを用いた実験やシミュレーション実験を行うことで、遅延な大きな環境での性能や数千ノード以上の規模でのスケーラビリティを検証するとともに、その知見も活かしつつ、より洗練されたツールの開発にも取り組んだ。

Research Products

• [Journal Article] Practical Approach to Integrating Network Coordinates with Distributed Hash Tables (2011)
  • Author(s): Toshinori Kojima, et al.
  • Journal Title: IPSJ Transactions on Advanced Computing Systems Volume: 4 Pages: 57-72
  • Peer Reviewed
• [Journal Article] コード領域を対象とする関心事を扱うためのアスペクト指向プログラミング言語の拡張 (2011)
  • Author(s): 赤井駿平, 千葉滋
  • Journal Title: 情報処理学会論文誌プログラミング Volume: 4 Pages: 1-12
  • Peer Reviewed
• [Journal Article] P2P-Based Approach to Finding Replica Server Locations for Alleviating Flash Crowds (2010)
  • Author(s): Masato Asahara, et al.
  • Journal Title: IEICE Transactions on Information and Systems Volume: E93-D Pages: 3027-3037
  • Peer Reviewed
• [Journal Article] A Strategy for Efficient Update Propagation on Peer-to-Peer Based Content Distribution Networks (2010)
  • Author(s): Ai Hirakawa, et al.
  • Journal Title: IPSJ Transactions on Advanced Computing Systems Volume: 3 Pages: 138-152
  • Peer Reviewed
• [Presentation] Distributed Dynamic Weaving is a Crosscutting Concern (2011)
  • Author(s): Michihiro Horie, et al.
  • Organizer: ACM Symposium on Applied Computing
  • Place of Presentation: Taichung, Taiwan
  • Year and Date: 2011-03-23
• [Presentation] Security Sensitive Data Flow Coverage Criterion for Automatic Security Testing of Web Applications (2011)
  • Author(s): Thanh-Binh Dao, Etsuya Shibayama
  • Organizer: International Symposium on Engineering Secure Software and Systems
  • Place of Presentation: Madrid Spain
  • Year and Date: 2011-02-09
• [Presentation] Coverage Criteria for Automatic Security Testing of Web Applications (2010)
  • Author(s): Thanh-Binh Dao, et al.
  • Organizer: International Conference on Information Systems Security
  • Place of Presentation: Gandhinagar, India
  • Year and Date: 2010-12-18
• [Presentation] Mostly Modular Compilation of Crosscutting Concerns by Contextual Predicate Dispatch (2010)
  • Author(s): Shigeru Chiba, et al.
  • Organizer: ACM Conference on Object-Oriented Programming, Systems, Languages, and Applications
  • Place of Presentation: Reno, USA
  • Year and Date: 2010-10-21
• [Presentation] Optimizing Dynamic Dispatch with Fine-Grained State Tracking (2010)
  • Author(s): Salikh Zakirov, et al.
  • Organizer: Dynamic Language Symposium
  • Place of Presentation: Reno, USA
  • Year and Date: 2010-10-18