2011 Fiscal Year Research-status Report
セキュリティ脆弱性情報の関連性に着目した脆弱性診断支援システムの研究開発
| Project/Area Number |
23500089
|
|---|
| Research Institution | Hiroshima University |
|---|
Principal Investigator |
田島 浩一 広島大学, 情報メディア教育研究センター, 助教 (50325205)
|
|---|
| Project Period (FY) |
2011-04-28 – 2014-03-31
|
| Keywords | セキュリティ脆弱性診断 |
|---|
| Research Abstract |
本研究ではセキュリティ対策に有効として提供されているさまざまなコンピュータセキュリティ脆弱性に対する診断ツールについて、より効果的な診断が可能となる利用方法および必要となる診断ツールの規格化について研究開発を行うものであり、その性格上規格化を先行して行う必要があり、作成した規格を用いて診断機能の充実を図るものである。これまでの研究結果の具体的内容について、本年度は、研究経費に計上し構築を予定したセキュリティ脆弱性診断を行う診断サーバおよび診断実行の管理や診断結果の提供を行う管理サーバなど研究環境の構築を終え、そこで行っている脆弱性診断の診断ツール実行方法について、診断対象の指定や診断する項目の指定についての規格化の試行を行い、実際に組織内においての実施および検証を行った。研究により、診断ツールを用いる際に必要とされる引数や設定する実行パラメータ等、ツールに依存した実行環境等や動作指定の差異を吸収する実行指定の規格化の試作を完了し、各診断ツールを制御するアダプタ的機能として動作する実装を行った。これにより、ツールより異なるIPアドレスやポート番号の指定方法など利用が容易になり、ツール間の組み合わせ実行等が容易になった。また、実際に診断サーバへの診断指示を行う際に発生する制御用通信についても、HTTP/HTTPSやNETCONF、SNMP等による実装と試作を行っており、現在はその評価を実環境での運用を通して進めている。今後はさらに評価を進め規格の充実を図るとともに、自組織での利活用およびその実績の収集、研究発表やWEBサイトでの試作システムの公開を通して引き続きセキュリティ対策での脆弱性に対する診断ツールの利活用推進を進める。
|
| Current Status of Research Progress |
Current Status of Research Progress
2: Research has progressed on the whole more than it was originally planned.
Reason
平成23年度に予定していた、セキュリティ脆弱性診断を行う診断サーバおよび診断実行の管理や診断結果の提供を行う管理サーバなど研究環境の構築を終え、平成23年度分の研究課題としてた「診断ツール実行方法の規格化」について、およそ予定どおの進捗として試作の完成および試行開始ができている。次年度以降も、自組織における利活用の運用を通して評価や改良を行う事を予定している。また開発状況に応じてプロトタイプの公開および以下の規格についての仕様を研究し公開を行う事も予定通り進めている。また、平成24年度以降に予定していた、「診断ツールの診断結果出力およびその提供方法の規格化」および「診断ツールの連動動作の研究開発」の研究に必要となる実環境での評価等の収集状況も順調に進んでいるが、遂行上で解析用に計算機資源が継続して必要となったため、平成24年度にPCサーバ1台を購入し評価解析用としての機能追加を予定している。
|
| Strategy for Future Research Activity |
前年度までの進捗により、研究環境の構築ができたため、本年度は引き続き予定した「診断ツールの診断結果出力およびその提供方法の規格化」を行う。具体的には、診断により得られる診断結果についても規格化が必要であり、診断に用いるツールによってはステータスコードや簡単な文字列による診断結果(場合によってはOKのみなど)を提供するものや、どのように対策すべきかについての説明等が含まれるものなど様々な形式であるため、人により可読な情報を維持する事とプログラムによる自動処理が可能となる条件を満たした書式として、一部XMLによる規格化を行う。あわせて診断結果の提供方法について、ネットワークを経由した場合のファイルの提供方法等についても適したプロトコルの選択やその仕様についての規格化を行うもので、研究活動を通じてお広く情報公開を進め、平成23年度の活動のまとめとして、平成24年度の早いうちに構築事例および試作した規格についての成果発表を予定している。
|
| Expenditure Plans for the Next FY Research Funding |
情報収集および研究成果発表に要する旅費や研究会等の参加費、および、データ解析や統計処理用として低価格のPC1台と若干の消耗品を購入予定である。
|
