2013 Fiscal Year Annual Research Report
情報システムの要求分析段階における脆弱性除去と対策選択を支援するシステムの開発
| Project/Area Number |
23500042
|
|---|
| Research Institution | Shinshu University |
|---|
Principal Investigator |
海谷 治彦 信州大学, 工学部, 准教授 (30262596)
|
|---|
| Keywords | アセットフロー / モデリング / モデル検査 / アーキテクチャ / オントロジ |
|---|
| Research Abstract |
昨年度,開発した脆弱性を分析するためのモデリングツールと,モデル上での脆弱性を発見するための検査ツールを統合し,対策コストとダメージの予測を行うツールを構築した.モデル上の情報の流れを本研究ではアセットフローと呼ぶ.複数の異なるアセットフローがある脆弱性が発生する原因となる場合があり,それぞれのアセットフローの長さや複雑さは異なる.この原因となるアセットフロー群の長さの違い,フロー途中の要素の違いに着目し,対策コストの優先度付けを行った.単にフロー長の比較を行うだけでは,どの原因が重大かを判断し難い.そこで,複数のフローを可視化する機能をモデリングツールに付与した.昨年度までのモデリングツールはアセットフローの始点と終点のみが可視化されていた.今年度の研究によって,フローのパス全体の可視化と,異なるフローを比較して可視化することが可能となった.
計画時点では初年度に完成予定であったオントロジに基づく用語統一を行うツールも完成することができた.OWASP等のセキュリティデータベースに用いられている技術用語と仕様書に用いられる対象業務寄りの用語には大きなギャップが存在する.例えば,仕様書では「顧客名簿を登録し検索可能とする」等の業務寄りの表現が当然用いられる.一方,OWASPでは「SQLのクエリについて・・・」等の技術用語で構成された文書がほとんどである.これらのギャップを埋めるため,技術用語-一般用語対応表を収集し,想定するアーキテクチャ毎に対応表を洗練する手法とツールを開発した.
本研究で開発した手法とツールを,大学における在学生,卒業生の個人情報管理のためのウエブアプリケーションにおけるセキュリティ要求分析に適用し,セキュリティ専門家が発見する脅威を非専門家でも発見できることを確認した.
|
