| Research Abstract |
本年度はソフトウェアの脆弱性を定量的に評価するためのモデルについて,主に従来から知られているソフトウェアの信頼性評価モデルをベースに構築する手法を取った.先に本申請研究者により示された研究成果により,ソフトウェアの脆弱性は信頼性と密接な関係をもつが,両者の根本的な違いの一つとして,ソフトウェアの脆弱性を低下させる外部からの悪意あるユーザによる攻撃に関して,当該ソフトウェアを開発・保守する側が,将来現れるであろう攻撃者がどのような手段を用いるかについて,その開発過程においては予め完全には知り得ないことが挙げられる.このような状況は,一般的な信頼性向上手法である.当該ソフトウェアに対する十分な動作テストを行ったとしても,攻撃者が用いるような,例えば巧妙なバッファオーバーフローによる誤動作の可能性などについて,もし開発者側の知識が不足している,あるいは攻撃者の側が開発者よりもそのような知識に長じているものとすれば,ソフトウェアの完全なテストを実質的に実行できないという意味で,ソフトウェアの信頼性を確認することはできても,脆弱性を予め評価することができないということになる.従って,本研究では一旦事後的な脆弱性の評価手法とならざるを得ないことを承知の上で,従来のソフトウェアの信頼性評価の手法のうちで,脆弱性評価モテルのベースとなる事柄について抽出し,これらのモデルの洗練化の可能性を探った.このことの利点としては,一般的に公開されているインターネットソフトウェアのリリースノートからの情報を用いて,洗練化されたソフトウェア信頼性モデルを基礎とした脆弱性モデルの開発に繋げることができる点にある.本年度の研究成果としては,この信頼性モデルのうちの成長曲線モデルの一般化などを行っており,次年度においてはこれから脆弱性モデルの開発と改良を行う予定である.
|
