2017 Fiscal Year Research-status Report
| Project/Area Number |
16K00196
|
|---|
| Research Institution | Institute of Information Security |
|---|
Principal Investigator |
大久保 隆夫 情報セキュリティ大学院大学, その他の研究科, 教授 (80417518)
|
|---|
| Project Period (FY) |
2016-04-01 – 2019-03-31
|
| Keywords | 攻撃可能性評価 / リスク評価 / 知識ベース / 分析効率化 / CAPEC / CWE / セーフティ |
|---|
| Outline of Annual Research Achievements |
攻撃可能性について、前年度までは形式手法を直接用いる手段を検討していた。攻撃可能性の評価として、形式検証によるモデル化を直接行うのではなく、attack treeによる分析を半自動化し、その妥当性を検証する方法の検討を進めた。
CAPEC(Common Attack Pattern Enumeration and Classification)、CWE(Common Weakness Enumeration)など、既存の知識ベースを活用するため、CAPECとCWEの関連について調査し、分析者が活用できるモデルの構築を進めている。また、攻撃対象の社会的な変化にともない、検証の対象分野を従来のIT分野から、組込み、制御系に広げている。これらの分野では従来より機能安全(セーフティ)のリスク評価手法が用いられている。セーフティ分析については、一部セキュリティ分析と重複しているため、分析者の労力を考慮し、これらの手法をセキュリティに活用できないか、既存のセーフティ、セキュリティのリスク評価手法について調査を行い、統一的利用の可能性について分析検討を行った。その結果、従来のセーフティ的リスク評価手法はセキュリティの手法とは異なるため、単純に統合できないことが分かった。この結果は2018年暗号と情報セキュリティシンポジウムにて、発表を行った。
・大久保 隆夫: セキュリティ,セーフティのリスク評価手法に関する調査, 2018年暗号と情報セキュリティシンポジウム(SCIS), 2018年1月.
|
| Current Status of Research Progress |
Current Status of Research Progress
2: Research has progressed on the whole more than it was originally planned.
Reason
当初のように厳密に形式手法を用いる方法は、脆弱性のモデル化が難しいことが研究で分かった。そのため、厳密にモデル化を行うよりも、既存の知識ベースを活用して、分析者が容易に分析、可能性の評価を行える方がのぞましいと考える。手法は計画当初よりも代わっているが、最終的に達成できる目標としてはほぼ変化はないと考えている。
|
| Strategy for Future Research Activity |
今年度は、知識ベースを活用したattack tree分析の半自動化、学習のモデル化を行い、実際にツールを作成して評価を行う予定である。また、attack treeの妥当性検証が、攻撃可能性検証には必要なため、この部分に攻撃可能性については、時系列的論理を用いた検証を試みる予定である。また、セーフティなどとの統合については、引き続き分析、検討を進める。
|
| Causes of Carryover |
計画した物品が当初予定していた金額より安く購入できたため。残余金は、30年度で必要な物品費として使用予定。
|
