2012 Fiscal Year Annual Research Report
セキュリティの変化に迅速に対応できるパターン指向ソフトウェア開発法の研究
| Project/Area Number |
24300011
|
|---|
| Research Category |
Grant-in-Aid for Scientific Research (B)
|
| Research Institution | National Institute of Informatics |
|---|
Principal Investigator |
吉岡 信和 国立情報学研究所, アーキテクチャ科学研究系, 准教授 (20390601)
|
|---|
| Co-Investigator(Kenkyū-buntansha) |
海谷 治彦 信州大学, 工学部, 准教授 (30262596)
鷲崎 弘宜 早稲田大学, 理工学術院, 准教授 (70350494)
|
|---|
| Project Period (FY) |
2012-04-01 – 2015-03-31
|
| Keywords | セキュリティ / パターン / インパクト分析 / セキュリティ要求 / 脆弱性分析 |
|---|
| Research Abstract |
従来のセキュリティ開発手法では、さまざまな対策案がパターンとしてカタログ化されていたが、どのような対策をソフトウェアのどこに施すかは、開発者が判断し、その判断基準は開発中のモデルには明示されていなかった。また、セキュリティ要求の変化に対して迅速な対応を行うためには、対策の設計を行う前に、複数の対策から適切な対策を選択する指針となる高精度な対策コストの予測と、選択した対策が可能な限り自動的に追加できる仕組みが必要である。そこで、本提案では、セキュリティパターンを脅威パターン、攻撃パターン、対策パターンの3つに分類し、それぞれの関連を明らかにすることで、各開発工程でモデル化されるセキュリティの関心事間の関連(縦方向のトレース)を導出できるようにする。さらにアプリケーションとパターンの関連(横方向のトレース)を明らかにするために、セキュリティパターンにより得られる情報を、セキュリティモデル中のステレオタイプで付加する方法を提案する。これらの分析結果を新しい攻撃や脅威の対応の際に再利用することで、対策コストの予測やその自動追加が実現できる。
平成24年度はセキュリティ分析・設計に必要な情報を整理しながら行い、インパクトの予測と自動化が扱える統一的な言語を構築した。具体的には、セキュリティ情報を既存のモデルに追加する手法を吉岡が中心になって開発し、パターンからインパクトを分析する手法を海谷が開発した。そして、対策を自動追加する仕組みを鷲崎が中心に開発した。さらに、オープンソースの事例を使ってこれを評価している。
|
| Current Status of Research Progress |
Current Status of Research Progress
2: Research has progressed on the whole more than it was originally planned.
Reason
各研究分担者の技術に対して、パターンを中心に統合し、各開発工程でモデル化される情報間の関連を整理することができた。
|
| Strategy for Future Research Activity |
提案手法の有効性を示すために、事例の作成と評価を中心に推進予定である。
|
| Expenditure Plans for the Next FY Research Funding |
平成24年度に構築した言語をもとに、Webサービス分野で中規模な事例を設計し、提案するモデルの拡張性および、有効性を評価し、問題点を整理する。
|
Research Products
(5 results)
