プライバシーとセキュリティを統合した要求分析フレームワーク

2015 Fiscal Year Annual Research Report

• Project/Area Number: 15H02686
• Research Institution: National Institute of Informatics
• Principal Investigator: 吉岡 信和 国立情報学研究所, アーキテクチャ科学研究系, 准教授 (20390601)
• Co-Investigator(Kenkyū-buntansha): 海谷 治彦 神奈川大学, 理学部, 教授 (30262596) ; 櫨山 淳雄 東京学芸大学, 教育学部, 教授 (70313278) ; 鷲崎 弘宜 早稲田大学, 理工学術院, 准教授 (70350494) ; 大久保 隆夫 情報セキュリティ大学院大学, 情報セキュリティ研究科, 教授 (80417518)
• Project Period (FY): 2015-04-01 – 2019-03-31
• Keywords: ソフトウェア開発効率化・安定化 / ソフトウェア学 / セキュリティ要求 / プライバシー要求

Outline of Annual Research Achievements

従来のプライバシー要求分析はセキュリティの分析法を拡張しており、利用者がどのようなことをプライベートだと思っているかといった主観的なニーズを取り扱ってこなかった。そのため匿名性などのプライバシー要求の妥当性や根拠については明確にできず適切な要求を策定するのが困難であった。本研究では、要求を生み出す利用者のニーズに着眼し、プライバシーに関する嗜好からサービスが満たすべきプライバシー要求を導出する方法を提案する。さらに、これまでの手法ではセキュリティとプライバシーの要求が競合する事実が見過ごされていた。それに対して本提案では、セキュリティとプライバシーを両立させるアプローチを試みる。これらにより、安全でかつプライバシーにやさしいサービスが効率よく開発可能となる。
H27年度は、個人のニーズを分析する手法、ニーズからプライバシー要求の策定する方法、およびセキュリティとプライバシーの間の競合を発見し解決する手法の３つの基盤技術を開発した。
具体的には、プライバシーに関する嗜好を、個人に関する情報が他人に知られたらどれくらい嫌だと考えるかという主観から定義し、そこからプライバシー情報の重要性を測定する手法を提案した。さらに、その重要性に応じて、サービスが利用するプライバシー情報の種類や抽象度を規定する手法を提案した。加えて、クラウドサービスにおいて、セキュリティやプライバシーに関する関心事がどのように関連するかという概念を表すメタモデルを構築し、競合を発見し、それを回避するクラウドサービスの構築法を提案した。

Current Status of Research Progress

2: Research has progressed on the whole more than it was originally planned.

Reason

当初の目的であった個人のニーズを分析する手法、ニーズからプライバシー要求の策定する方法、およびセキュリティとプライバシーの間の競合を発見し解決する手法の３つの基盤技術は考案できた。

Strategy for Future Research Activity

今後は、セキュリティとプライバシーの両方が重要になる事例で、H27年度に導出した技術の有効性を確認予定である。
具体的には、クラウドサービス上の保険業務サービスを検討している。

Research Products

• [Journal Article] Security in Cloud Computing and Big Data (2016)
  • Author(s): Eduardo Fernandez, Nobukazu Yoshioka, Hironori Washizaki, Madiha Syed
  • Journal Title: Journal of Future Internet Volume: Vol.8, Issue 2 Pages: 1-13
  • DOI: 10.3390/fi8020013
  • Peer Reviewed / Open Access / Int'l Joint Research
• [Journal Article] TESEM: A Tool for Verifying Security Design Pattern Applications by Model Testing (2015)
  • Author(s): Takanori Kobashi, Masatoshi Yoshizawa, Hironori Washizaki, Yoshiaki Fukazawa, Nobukazu Yoshioka, Haruhiko Kaiya, Takano Okubo
  • Journal Title: Proceedings of the 8th IEEE International Conference on Software Testing, Verification, and Validation Volume: ICST 2015 Pages: 1-8
  • DOI: 10.1109/ICST.2015.7102633
  • Peer Reviewed / Acknowledgement Compliant
• [Journal Article] Case Base for Secure Software Development Using Software Security Knowledge Base (2015)
  • Author(s): Atsuo Hazeyama, Masahito Saito, Nobukazu Yoshioka, Azusa Kumagai, Takanori Kobashi, Hironori Washizaki, Haruhiko Kaiya, Takao Okubo
  • Journal Title: 10th IEEE International Workshop on Security, Trust, and Privacy for Software Applications Volume: STPSA 2015 Pages: 97-103
  • DOI: 10.1109/COMPSAC.2015.86
  • Peer Reviewed / Acknowledgement Compliant
• [Journal Article] A Case-based Management System for Secure Software Development Using Software Security Knowledge (2015)
  • Author(s): Masahito Saito, Atsuo Hazeyama, Nobukazu Yoshioka, Takanori Kobashi, Hironori Washizaki, Haruhiko Kaiya, Takao Ohkubo
  • Journal Title: 19th International Conference on Knowledge Based and Intelligent Information and Engineering Systems Volume: KES 2015 Pages: 1092-1100
  • DOI: 10.1016/j.procs.2015.08.155
  • Peer Reviewed / Acknowledgement Compliant
• [Journal Article] Patterns for security and privacy in cloud ecosystems (2015)
  • Author(s): Eduardo B. Fernandez, Nobukazu Yoshioka and Hironori Washizaki
  • Journal Title: The 2nd International Workshop on The Evolving Security and Privacy Requirements Engineering Volume: ESPRE 2015 Pages: 13-18
  • DOI: 10.1109/ESPRE.2015.7330162
  • Peer Reviewed / Int'l Joint Research
• [Journal Article] Method Using Command Abstraction Library for Iterative Testing Security of Web Application (2015)
  • Author(s): Seiji Muneto, Noukazu Yoshioka
  • Journal Title: International Journal of Secure Software Engineering Volume: Vol.6, No.3 Pages: 26-49
  • DOI: 10.4018/IJSSE.2015070102
  • Peer Reviewed / Acknowledgement Compliant
• [Presentation] Pattern varieties and their uses in building systems (2016)
  • Author(s): Eduardo B. Fernandez, Nobukazu Yoshioka and Hironori Washizaki
  • Organizer: The Third International Workshop on Patterns Promotion and Anti-patterns Prevention
  • Place of Presentation: 大阪大学、大阪府吹田市
  • Year and Date: 2016-03-15 – 2016-03-15
  • Int'l Joint Research
• [Presentation] A Metamodel for Security and Privacy Knowledge in Cloud Services (2016)
  • Author(s): Hironori Washizaki, Sota Fukumoto, Misato Yamamoto, Masatoshi Yoshizawa, Yoshiaki Fukazawa, Takehisa Kato, Takao Okubo, Hideyuki Kanuka, Yuki Kondo, Shinpei Ogata, Atsuo Hazeyama, Haruhiko Kaiya and Eduardo B. Fernandez
  • Organizer: The Third International Workshop on Patterns Promotion and Anti-patterns Prevention
  • Place of Presentation: 大阪大学、大阪府吹田市
  • Year and Date: 2016-03-15 – 2016-03-15
  • Int'l Joint Research
• [Presentation] Systematic Mapping of Security Patterns Research (2015)
  • Author(s): Yurina Ito, Hironori Washizaki, Masatoshi Yoshizawa, Yoshiaki Fukazawa, Takao Okubo, Haruhiko Kaiya, Atsuo Hazeyama, Nobukazu Yoshioka, Eduardo B. Fernandez
  • Organizer: the 22nd Conference on Pattern Languages of Programs Conference 2015
  • Place of Presentation: Pennsylvania, USA
  • Year and Date: 2015-10-24 – 2015-10-26
  • Int'l Joint Research
• [Presentation] Finding Potential Threats in Several Security Targets for Eliciting Security Requirements (2015)
  • Author(s): Haruhiko Kaiya, Shinpei Ogata, Shinpei Hayashi, Motoshi Saeki, Takao Okubo, Nobukazu Yoshioka, Hironori Washizaki, Atsuo Hazeyama
  • Organizer: 10th International Multi-Conference on Computing in the Global Information Technology (ICCGI 2015)
  • Place of Presentation: Malta
  • Year and Date: 2015-10-14 – 2015-10-14
  • Int'l Joint Research