セキュリティ脆弱性情報の関連性に着目した脆弱性診断支援システムの研究開発

2012 Fiscal Year Research-status Report

• Project/Area Number: 23500089
• Research Institution: Hiroshima University
• Principal Investigator: 田島 浩一 広島大学, 情報メディア教育研究センター, 助教 (50325205)
• Keywords: 脆弱性診断 / コンピュータセキュリティ

Research Abstract

本研究は，「コンピュータセキュリティにおける脆弱性情報の関連性（１）」についての調査研究，および，それらを診断により検出し適切な対応に導く「診断支援システムの研究開発（２）」を行っている．特に１）の関連性の例として，WEBサービスの構成要素の多様化による脆弱性多様化については，WEBサーバ自体の脆弱性をはじめとして,WEBサーバに組み込まれるフレームワークやミドルウェア,そこで利用される多様なスクリプト言語,データベース等にも不具合とアップデート注意喚起が報告されており脆弱性情報の関連性に対応した脆弱性検出が求められる．
これまでの著者らの組織では,商用の診断ソフト以外にオープンソースのソフトも使って診断をしているものの,オープンソースの診断ソフトの多くは,例えばWEBサーバやそのフレームワークに特化したもの,SQLインジェクションの試行専用等単機能のものなど,特定の診断内容に機能を絞って実行しているものがほとんどである．そのため，それらの診断ソフトを効果的に利用する為には,調査したい箇所の選択や設定等を事前に検出して用意するなどの事前準備が必要であるものの，脆弱性によっては特定機能に特化されたオープンソースの診断ソフトの方がより詳細に診断可能である事をこれまでに確認した．
平成24年度は，脆弱性情報の関連性に応じて複数の診断ソフトが連携して動作する診断システムの研究開発を行い，その構成および構築例について平成25年度に1件報告（確定済み）する．また，脆弱性診断に利用すべき情報として，ネットワーク機器の動作等いわゆる通信記録に類するものやネットワーク機器であれば確認可能なホストの接続の状態等の確認が可能となるように，これらの情報の参照および過去の動作履歴の参照方法についてのアクセス手段の規格化を行い，「ネットワーク機器動作ログ参照サービスの試作」として報告を行った．

Current Status of Research Progress

2: Research has progressed on the whole more than it was originally planned.

Reason

平成23年度に研究環境として利用する事を前提として構築を行った脆弱性診断システムを用い，平成24年度の実施計画であった「診断ツール実行方法の規格化」について，およそ予定どおりの進捗として試作の完成および試行開始ができており，規格化により複数の診断ツールの連携利用が可能となった．さらに，診断ツール利用の規格化により診断ツールを手動による起動ではなくイベント等の検出による自動実行が行える様になり，脆弱性診断が連携することが効果的と考えられるネットワーク機器等で得られる特定の通信や接続状態等の動作ログや動作履歴に応じた脆弱性診断システムの効果的利用やその動作について研究開発を継続中である．
さらに，構築した診断支援システムは，現在でも大学内のネットワーク管理におけるセキュリティ対策として診断利用およびその結果解析等で継続利用しており，さらなる実環境による運用評価を継続する．

Strategy for Future Research Activity

平成25年度に実施を計画した診断ツールの連動動作についての研究開発で，一部の機能について開発および実装と構築まで出来ているため，その有効性検証のために過去にリリースされていたサーバソフト等で脆弱性を持つ状態をホストの仮想化により複数標的として用意し，検証および動作確認等に用いる事が有効性検証に効果的であると考えられ，平成25年度にPCサーバを購入し調査解析に用いる事を予定している．
また，平成25年度も大学のネットワーク管理におけるセキュリティ対策として利用およびその結果解析等で継続利用予定であり，実環境による運用評価を継続する．

Expenditure Plans for the Next FY Research Funding

平成24年度に計画していた国内旅費による研究報告が、日程調整不足により2件発表できていなかったため、平成25年度中にそれら2件の研究報告を予定する。

Research Products

• [Presentation] 脆弱性診断ツールの連携動作によるセキュリティ診断システムの構築 (2013)
  • Author(s): 田島 浩一, 岸場 清悟, 近堂 徹, 大東 俊博, 岩田 則和, 西村 浩二, 相原 玲二
  • Organizer: マルチメディア，分散，協調とモバイル(DICOMO2013)シンポジウム
  • Place of Presentation: 北海道 ホテル大平原
  • Year and Date: 20130710-20130712
• [Presentation] ネットワーク機器動作ログ参照サービスの試作 (2013)
  • Author(s): 田島浩一，西村浩二，近堂徹，岸場清悟，大東俊博，岩田則和，相原玲二
  • Organizer: 情報処理学会研究報告 2013-IOT-20
  • Place of Presentation: 奈良県 東大寺総合文化センター
  • Year and Date: 20130314-20130315