2021 Fiscal Year Research-status Report
DevOpsにおいて効率的にセキュリティ品質確保を行う技術の研究
| Project/Area Number |
21K11895
|
|---|
| Research Institution | Institute of Information Security |
|---|
Principal Investigator |
大久保 隆夫 情報セキュリティ大学院大学, その他の研究科, 教授 (80417518)
|
|---|
| Co-Investigator(Kenkyū-buntansha) |
海谷 治彦 神奈川大学, 理学部, 教授 (30262596)
|
|---|
| Project Period (FY) |
2021-04-01 – 2024-03-31
|
| Keywords | DevOps / セキュリティ / Attack-Defence Tree / 脅威分析 / 省力化 / 要求策定 / CAPEC / CWE |
|---|
| Outline of Annual Research Achievements |
DevOpsにおいて、現在DevSecOpsなどにおいても自動化されていない、運用におけるセキュリティ問題の次期開発における要求仕様への反映と、セキュリティ脅威分析について、従来作業よりも省力化を目標とした手法の研究を行った。繰り返し型開発において、脅威分析時にAttack-Defence-Tree(ADTree)を構築することを前提とし、運用時のログから識別した脅威に対し、Common Attack Pattern Enumeration and Classification(CAPEC)、Common Weakness Exposures(CWE)両データベースおよびデータベース項目の関連を利用して、要求仕様策定者に脅威と推奨対策を、ADTreeの差分として提供する。策定者は既存のADTreeを利用すること、運用の結果から情報提供を受けることで、新規に一から分析を行う必要がなくなり、省力化への寄与が可能となる。
この提案方式について論文化し、2022年9月にイタリア、ヴェローナで開催される国際会議26th International Conference on Knowledge Based and Intelligent information and Engineering Systems(KES2022)に投稿し、採択された。この成果については、当該会議で発表を行う予定である。
|
| Current Status of Research Progress |
Current Status of Research Progress
2: Research has progressed on the whole more than it was originally planned.
Reason
当初の目的であるDevOpsのセキュリティ作業の省力化、および運用と開発の連携について、一手法を考案し、提案、論文として採択された。1年目としてはほぼ予定通りの成果ととらえている。
|
| Strategy for Future Research Activity |
今年度は研究成果について発表を行う。また、提案手法のシステム化と評価を進める予定である。
また、運用からの検知手法や、脅威分析について、AI的な手法の導入を検討する。
|
| Causes of Carryover |
機械学習用に予定していたコンピュータが、予定よりも安価で購入できたため。
ただし、今年度は学会発表による旅費の増加を予定しているため、その分で使用する見込み。
|
