2019 Fiscal Year Annual Research Report
マルチペリメータラインに基づく多層防御セキュリティシステムの研究開発
| Project/Area Number |
19H04098
|
|---|
| Research Institution | Chiba Institute of Technology |
|---|
Principal Investigator |
谷本 茂明 千葉工業大学, 社会システム科学部, 教授 (90425398)
|
|---|
| Co-Investigator(Kenkyū-buntansha) |
佐藤 周行 東京大学, 情報基盤センター, 准教授 (20225999)
金井 敦 法政大学, 理工学部, 教授 (40524054)
|
|---|
| Project Period (FY) |
2019-04-01 – 2022-03-31
|
| Keywords | 多層防御セキュリティ / セキュリティ心理学 / 物理セキュリティ / ペリメータライン / センサ活用 / フォグ・エッジコンピューティング |
|---|
| Outline of Annual Research Achievements |
本研究は、非サイバー環境における心理面、経済面及び物理面の防御ライン(ペリメータライン)を既存のサイバーセキュリティシステムと連携させることにより、新たな多層防御セキュリティシステムを開発し、安心安全なITガバナンスに寄与するものである。具体的には、以下に示すサブテーマ単位に段階的かつ着実に進めている。
・サブテーマ1(心理面):セキュリティ対策に関わるストレスをセキュリティ疲労度と定義し、モデル化(数値化)する。即ち、セキュリティ疲労度を質問紙調査、潜在ランク理論などにより数値化し、この値をもとに配置転換などのストレス軽減策(コーピング)を促し、内部不正など心理面に関わるインシデント発生防止に寄与する。今年度は、チームビルディングにおける配置転換などのストレス軽減策を促すための新たなセキュリティ対策の検討を行った。
・サブテーマ2(経済面):経営層が容易に投資判断可能なモデルを確立する。投資面では、プロジェクトマネジメントの分析手法である積算法を用いて、対象のセキュリティ機能を細分化し、さらにワークシミュレーションにより算出する。効果面では、直接効果であるリスク値(=脆弱性×資産×脅威)に対し、さらに間接効果である安心感などの効果も加味することで経営層の投資判断を容易にし、セキュリティ対策の投資強化に寄与する。今年度は、秘匿性の高い個人情報を扱う業務における情報漏洩の主原因とされるヒューマンエラーに対するリスクアセスメントを行い、これに基づく間接効果について検討した。
・サブテーマ3(物理面):センサ技術の活用により新たな防御機能としてペリメータラインを設定し、サイバー環境との連携によりセキュリティ防御の強化を図る。今年度は、フォグ・エッジコンピューティングを対象にペリメータラインマネジメントの検討を行った。
|
| Current Status of Research Progress |
Current Status of Research Progress
2: Research has progressed on the whole more than it was originally planned.
Reason
今年度は、マルチペリメータラインに基づく多層防御セキュリティシステムの研究開発を実施するにあたり、計画に基づき以下のような成果を達成した。
・サブテーマ1(心理面):セキュリティ疲労度を数値化した値をもとに配置転換などのストレス軽減策(コーピング)を検討した。具体的には、セキュリティ疲労度を可視化し,常にチームのセキュリティ疲労度を平準化する手法として動的チームビルディング手法を検討した。即ち、セキュリティ疲労度に応じてチーム内のセキュアな業務と一般業務を動的に変更可能とした。これにより、チーム内のセキュリティ疲労度を平準化可能とし、ストレス軽減策に寄与しうることを明らかにした。
・サブテーマ2(経済面):間接効果の検討として、秘匿性の高い個人情報を扱う業務における情報漏洩の主原因とされるヒューマンエラーに対するリスクアセスメントを行った。具体的には、情報漏えいを対象に、秘匿性の高い個人情報を取り扱う業務を例にとり、リスク要因の特定と分類を行った。具体的には、スキルベースにおけるヒューマンエラーの失敗モードによりこれらのリスク要因を体系的に特定・分類し、リスク低減策を提案した。
・サブテーマ3(物理面):センサなどによる物理環境の検知とサイバー環境との連携システムとして、フォグ・エッジコンピューティングの適用を検討した。特に、フォグ・エッジ間のセキュリティ連携の観点からエッジで良く使われるMQTTやAMQPなどのプロトコルをエッジからのデータにより使い分ける手法を考案し、国際会議等において発表した。さらに、フォグ・エッジコンピューティングにおけるペリメータラインマネジメントの検討を行い、ノードの生死確認の観点からは、クラウドからのトップダウンンマネジメント方式が適していることを明らかにした。
以上により、当初計画通りおおむね順調に推移していると言える。
|
| Strategy for Future Research Activity |
次年度は、引き続き、以下に示すサブテーマ単位に段階的かつ着実に研究開発を進める。
・サブテーマ1(心理面):セキュリティ対策に関わるストレスをセキュリティ疲労度と定義し、モデル化(数値化)する。具体的には、これまでセキュリティ疲労度を質問紙調査、潜在ランク理論などにより手動計測していた手法を統計分析ソフトである「R」もしくはベイズモデリングにより自動計測化を図る。次に、この値をもとに、ストレス軽減策を促すためのセキュリティ対策を引き続き検討し、新たに認知的方略に基づく対策案の検討も進め、情報漏洩や内部不正などの心理面に関わるインシデント発生防止に寄与する。
・サブテーマ2(経済面):経営層が容易に投資判断可能なモデルを投資面ならびに効果面に分けて確立する。具体的には、間接効果を中心に検討を進め、セキュリティ教育、特に倫理面の効果に関しアクティブラーニングなどによる能動的な手法の適用によりセキュリティ知識の形式知から暗黙知へと、より定着させる手法などについて検討する。
・サブテーマ3(物理面):センサ技術の活用により新たな防御対策機能を検討する。具体例として、センサを用いた来訪者システム等を検討する。来訪者の移動を人感センサなどにより自動検知することで防御ラインを設定し、サイバー環境との連携によりセキュリティ防御の強化を図る。センサとサイバー環境との連携には、フォグ・エッジコンピューティング、ブロックチェーンの適用など最新動向も参考にし、効率よく開発を進めていく予定である。
・サブテーマ4(統合化):サブテーマ1~3の個別システムの統合化の基本検討を行う。具体的には、テーマ間を連携するためのプロトコルなどの連携手法を検討する。
|
