シナリオを用いたセキュリティ要求の獲得と分析に関する研究

2005 Fiscal Year Annual Research Report

• Project/Area Number: 17700038
• Research Institution: Ritsumeikan University
• Principal Investigator: 糸賀 裕弥 立命館大学, 情報理工学部, 講師 (00373100)
• Keywords: 要求工学 / シナリオ / セキュリティ / アスペクト指向

Research Abstract

平成17年度は,利用者とソフトウェアの振る舞いを時系列に沿って記述したシナリオを用いて,ソフトウェアのセキュリティ要求を獲得・分析し,ソフトウェア要求仕様書に記述すべき機能・性能および程度を明確にすることを目的として研究を行なった.
まず,セキュリティ要求を獲得するために,システムの利用者であるアクタの状態に着目し,立命館大学の大西らが開発しているシナリオ言語SLAFにおいて,動作動詞のみの格文法構造を,状態動詞を含むものに拡張する方法について新たな検討を行ない,国際会議APSEC'05への投稿を行なった.これに対する意見から,シナリオを用いたセキュリティ要求獲得手法による利点と,提案手法によって獲得されるセキュリティ要求について詳細を明らかにする必要が生じた.
そこで,ソフトウェア要求仕様書に必要なセキュリティ要求の具体例として,標準的なセキュリティ監査基準を挙げ,シナリオによって監査基準にもとづいた要求を適切に獲得する方法について検討を行なった.セキュリティ監査基準に基づいた要求獲得手法について,電子情報通信学会ソフトウェアサイエンス研究会(SIGSS)にて新たな提案を行なった.さらに議論から得られた知見を加え,国際会議Aspect-Oriented Software Development 2006併設ワークショップEarly Aspects 2006に投稿し採録された.この内容についてはさらに実証実験を追加し,次年度の国際会議への投稿を行なっている.
これらの成果をもとに,セキュリティ監査基準における利用者の種類に応じた振る舞いと,利用者の状態を解析するための状態動詞との関連についての詳細な検討を行なっており,当初の研究実施計画にある開発環境の導入およびシナリオ解析システムの試作を開始している.

Research Products

• [Journal Article] Scenario Weaving for Security Requirements Elicitation (2006)
  • Author(s): Hiroya Itoga, Atsushi Ohnishi
  • Journal Title: the workshop proceedings of the Early Aspects 2006 : Traceability of Aspects in the Early Life Cycle, in conjunction with the 5th International Conference on Aspect-Oriented Software Development (EA-AOSD'06), Bonn, Germany, March 21, 2006. (accepted, to appear)
• [Journal Article] セキュリティ要求に基づいた振る舞いのシナリオへの挿入支援 (2005)
  • Author(s): 糸賀裕弥, 大西淳
  • Journal Title: 電子情報通信学会技術報告(信学技報) Vol.105, No.491 Pages: 49-54