2011 Fiscal Year Research-status Report
情報システムの要求分析段階における脆弱性除去と対策選択を支援するシステムの開発
| Project/Area Number |
23500042
|
|---|
| Research Institution | Shinshu University |
|---|
Principal Investigator |
海谷 治彦 信州大学, 工学部, 准教授 (30262596)
|
|---|
| Project Period (FY) |
2011-04-28 – 2014-03-31
|
| Keywords | アセットフロー / データフロー図 / モデルチェック / インパクト分析 / ソフトウェアパターン |
|---|
| Research Abstract |
本年度の研究成果は大きくわけて二つある.一つはユースケースモデルを入力としてアセットの流れに基づき,脆弱性の存在を分析し,セキュリティ要求獲得を行う手法である(脆弱性除去).もう一つは獲得したセキュリティ要求を実現するための対策の選択を既存システムにおける設計図やソースコード上のインパクト分析を通して支援する手法である(対策選択).脆弱性選択については,研究当初はユースケース図に基づき,システムの振る舞いを状態モデルに変換し,脆弱性を発見する手法を考えていた.しかし,セキュリティにおける分析ではデータの流れに基づくアセットフロー解析のほうが,脆弱性発見に有利であることを実システムの分析から明らかにした.この考えに基づき,ユースケース図をアセットフロー図に変換し,アセットフロー図上における脆弱性の構造的な特徴をモデルチェック技術によって自動的に発見する手法を確立した.UMLが広まって以降,データフロー図の流れを組む分析手法が重視されなくなっていたが,それが有効であることを本研究から明らかにできた.また,状態モデルではなくデータフローモデルに対して,モデルチェック技術を適用することは,他の研究には無い大きな独自性である.当該研究内容は国内学会で発表を行い,現在,権威ある国際会議において審査中である.対策選択については,研究提案者が従来有していた設計やソースコードに対するインパクト分析の技術と,セキュリティに関するソフトウェアパターンの技術を融合することで実現を行なった.通常のインパクト分析では,セキュリティに特化したインパクトを発見することは困難である.この部分を埋めるために,セキュリティに関するソフトウェアパターンを利用することとした.当該研究は国際学会で発表を行い,海外の出版社が発行する学術雑誌に論文を発表するまでに至った.
|
| Current Status of Research Progress |
Current Status of Research Progress
2: Research has progressed on the whole more than it was originally planned.
Reason
当初計画では脆弱性除去の部分の完成が本年度の目標であった.しかし,今年度中にインパクト分析を用いた対策選択支援まで着手することができた.その意味からは当初計画よりも研究は進んでいる.しかし,脆弱性除去法に関する研究については,国際学会や論文誌への発表が遅れている.この意味からは,研究が若干遅れているといえる.以上を加味すると,研究は遂行順序に変更があるものの,概ね順調に進んでいるといえる.
|
| Strategy for Future Research Activity |
脆弱性除去および対策選択に関する基礎理論の構築は初年度に達成することができた.また,対策選択については,国際的な研究発表を十分に行い,一部,ツールの利用も行なっている.今後の研究の推進方策は以下の三点が特に重要である.(1) 脆弱性除去に関する理論について国際的な学会発表を行なう.(2) それぞれの研究についての支援ツール(CASEツール)の開発を行なう.(3) 脆弱性除去および対策選択の理論に関する融合を模索する.第一点については,現在,国際会議(RE12)へ投稿中であり,その審査結果待ちである.採録された場合,当該学会での発表はもちろん,当該投稿内容を改善し,論文誌への投稿を行なう.第二点については,本研究に最適なモデルチェックツールの比較検討を行い,当該ツールを再利用することで,脆弱性除去の支援システムを完成させたい.対策選択については,インパクト分析の部分の自動化はほぼ完成しているが,セキュリティに関するソフトウェアパターンの自動適用の部分が遅れている.機械処理可能なパターン記述様式の定義と,その処理系の開発をまず行なわなければならない.第三点については,脆弱性除去と対策選択の接点はユースケースモデルであるため,ユースケースモデルに対してなんらかの言語拡張を行なうことで,二つの技術の融合をはかりたい.
|
| Expenditure Plans for the Next FY Research Funding |
本年度においては,当初計画で見込んだよりも安価に研究が完了したため,次年度使用額が生じた.次年度の研究費の使途は,主に国際会議における発表旅費と,ツール開発のためのコンピュータの購入費用が中心となる.現時点で投稿している国際会議での発表を含め,2~3編程度の発表旅費が必要である.また,日本国内の論文誌に論文が掲載された場合,平均して20万円程度の掲載料が徴収される.次年度使用額は国際会議の参加費もしくは国内論文の掲載料として利用する予定である.
|
