2019 Fiscal Year Research-status Report
セマンティックなセキュリティ情報モデリングとセキュリティ管理自動化への応用
| Project/Area Number |
19K11967
|
|---|
| Research Institution | The University of Aizu |
|---|
Principal Investigator |
中村 章人 会津大学, コンピュータ理工学部, 上級准教授 (70357664)
|
|---|
| Project Period (FY) |
2019-04-01 – 2022-03-31
|
| Keywords | サイバーセキュリティ / システム管理 / 脆弱性診断 / リンクトオープンデータ / セマンティックWeb |
|---|
| Outline of Annual Research Achievements |
情報システムの普及に伴い、そのセキュリティ対策や強靭化が重要になっている。しかしながら、自然言語による情報の流通と人手によるプロセスは、効率性や即応性、正確性に問題を生じさせている。本研究は、セキュリティ情報の機械可読性及び意味レベルの相互運用性を高めて様々な用途に利用できるセマンティックな情報モデルを構築するとともに、これを利用してセキュリティ管理の自動化を目指す。セキュリティツールでの利用を前提として、具体的なセキュリティ対策やシステム管理タスクなどを表現できる細粒度のデータを作成し、セキュリティ診断や構成管理等のタスクをソフトウェアで自動化する。
今年度は、業界標準のデータ記述様式や語彙を基に、ソフトウェアの脆弱性に関する情報及び深刻度と診断方法等の個別データセットを一つのデータベースに統合した。セマンティックな情報記述の手法RDFを用いている。人間向けの自然言語による情報であるWikipediaの記事ともリンクしている。これは、多目的に利用可能な精緻で相互運用性の高い機械解釈可能なセキュリティ情報の最小セットと位置付けられる。
また、機械可読な脆弱性情報に基づいて、特定の脆弱性を持つシステムを仮想環境に自動構成し、それを標的として攻撃を再現できるソフトウェアを開発し、オープンソースソフトウェアとして公開して継続的に改良を進めている。本ソフトウェアは、システム管理者やソフトウェア開発者のセキュリティテストの効率化に資すると共に、セキュリティ診断や構成管理の自動化を図る上でのテストベッドの役割を果たす。
|
| Current Status of Research Progress |
Current Status of Research Progress
2: Research has progressed on the whole more than it was originally planned.
Reason
セキュリティ管理に関する業界標準のデータ(CVE, CPE, CWE, CVSS, OVALの5種類)及び脆弱性データベースNVDのデータをRDFストアに格納して標準問合せ言語(SPARQL)で検索できるシステムを構築した。脆弱性情報や診断方法などの情報が汎用的な機械可読形式で相互にリンクされた。これによりセキュリティ情報の相互リンクデータ(Linked Open Data: LOD)の基盤を作成できた。また、脆弱性情報に関しては、人間向けの自然言語による情報も重要なため、Wikipediaの記事とリンクするよう工夫した。これは、セキュリティ情報LODの最小セットと位置付けられる。これらの具体的なデータから概念整理を行ってオントロジーを構築することも目標の一つであるが、その検討は計画からやや遅れている。
また、脆弱性情報に基づいて、特定の脆弱性を持つシステムを仮想環境に自動構成し、それを標的として攻撃を再現できるソフトウェアを開発し、オープンソースソフトウェアとしてGitHubで公開して継続的に改良を進めている。
|
| Strategy for Future Research Activity |
セキュリティ情報の相互リンクデータを拡充すると共に、管理ツールとの連携を図る。具体的には、脆弱性診断、テスト、構成管理等のツールの駆動に必要・十分なデータを拡充させつつ、セキュリティオントロジーの構築を進める。また、汎用的なデータ問合せ言語(SPARQL)に対して、これらのツールに則した定型的なデータ構造や特定のアクセスパターンに基づく目的特化型のAPIを検討していく。
研究成果を論文発表すると共に、データ及びソフトウェアは有効性・実用性を重視し、オープンソースで公開しフィードバックを得ながら、段階的に完成度を高めていく。
|
| Causes of Carryover |
想定していた学会参加の取りやめと、物品(図書等)の購入等で金額に端数があったため。
次年度使用額は消耗品等の購入に充てる予定である。
|
Research Products
(1 results)
