DevOpsにおいて効率的にセキュリティ品質確保を行う技術の研究

• Project/Area Number: 21K11895
• Research Category: Grant-in-Aid for Scientific Research (C)
• Allocation Type: Multi-year Fund
• Section: 一般
• Review Section: Basic Section 60070:Information security-related
• Research Institution: Institute of Information Security
• Principal Investigator: 大久保 隆夫 情報セキュリティ大学院大学, その他の研究科, 教授 (80417518)
• Co-Investigator(Kenkyū-buntansha): 海谷 治彦 神奈川大学, 理学部, 教授 (30262596)
• Project Period (FY): 2021-04-01 – 2025-03-31
• Project Status: Granted (Fiscal Year 2023)
• Budget Amount: ¥4,030,000 (Direct Cost: ¥3,100,000、Indirect Cost: ¥930,000); Fiscal Year 2023: ¥1,170,000 (Direct Cost: ¥900,000、Indirect Cost: ¥270,000); Fiscal Year 2022: ¥1,040,000 (Direct Cost: ¥800,000、Indirect Cost: ¥240,000); Fiscal Year 2021: ¥1,820,000 (Direct Cost: ¥1,400,000、Indirect Cost: ¥420,000)
• Keywords: DevOps / セキュリティ / 脅威分析 / Attack Defense Trees / CAPEC / CWE / 効率化 / プロセスマイニング / Attack-Defence Tree / 省力化 / 要求策定 / 開発運用

Outline of Research at the Start

本研究では、ソフトウェアの開発と運用サイクルの一手法であるDevOpsにおける実用的なセキュリティ品質確保手法についての研究を行う。本研究は、、次の方針に基づき研究を行う。
・運用情報からセキュリティ要求仕様に必要な情報を自動的に抽出し、セキュリティ要求仕様に反映
・適切にセキュリティ品質を確保する、運用のためのセキュリティ要求仕様の策定方法
・DevOpsにおける脅威分析の自動化/効率化
本研究により、運用で生じるセキュリティ課題を確実に次の開発でセキュリティ運用に反映させ、かつ開発の迅速さを維持しつつ適切なセキュリティ品質を保証することが可能となる。

Outline of Annual Research Achievements

2023年度は、前年度作成したCAPECから再利用可能な部品をAttack Treeのパターンとして抽出するツール「FRAT&RATTATA」を改良を行った。具体的には、攻撃の記述にに加え、対応する対策ノードまで記述可能なAttack Defense Trees(以下ADTrees)を生成可能なツール「COTTAGE」を提案し、実装、評価を行った。COTTAGEは対策まで導出可能にしただけではなく、CAPECに加えCWEを元にしたこと、および前年度のFRAT/RATTATAでは再利用率の低い問題の解決をはかった。COTTAGEに対し、実際に被験者に利用してもらいツリーを作成する実験を行ったところ、定性的にはFRATを用いた場合やパターンを用いない場合よりも高い評価が得られた。また、2022年に大久保らが発表したDevOpsにおいてADTreesを生成する研で用いたケーススタディを適用し、専門家が作成したADTreesと同等のTreeが作成できることを確認した。この研究成果について、2024年1月に開催された暗号と情報セキュリティシンポジウムにて発表した。
また、運用時において想定すべき脅威について深堀を行い、悪性コードが検出できるか、フィッシングメールが検出可能かの2点について研究をすすめ、それぞれの成果についてシンポジウムで発表を行った。

Current Status of Research Progress

3: Progress in research has been slightly delayed.

Reason

ただ、DevOpsへの適用においては、1ラウンド前の開発(Dev)で利用されたパターンが、再利用されているかを、それでなければ差分をとることが可能かについての検証が課題として残されている。

Strategy for Future Research Activity

2024年度は残った課題(1ラウンド前の開発(Dev)で利用されたパターンが、再利用されているかを、それでなければ差分をとることを可能にすることを目標とし、成果について論文誌または国際会議で発表する予定である。

Research Products

• [Journal Article] Efficient secure DevOps using process mining and Attack Defense Trees (2022)
  • Author(s): Okubo Takao、Kaiya Haruhiko
  • Journal Title: Procedia Computer Science Volume: 207 Pages: 446-455
  • DOI: 10.1016/j.procs.2022.09.079
  • Peer Reviewed / Open Access
• [Presentation] Attack Defense Treesを用いた脅威分析効率化支援手法の提案 (2024)
  • Author(s): 大久保隆夫、山本渓太、海谷晴彦
  • Organizer: 2024年暗号と情報セキュリティシンポジウム
• [Presentation] 自然言語処理を用いたスパムメールフィルタリング手法の提案 (2024)
  • Author(s): 脇谷峡平，大久保隆夫
  • Organizer: 第104回コンピュータセキュリティ(CSEC)研究発表会
• [Presentation] BERTを用いソフトウェアサプライチェーン攻撃検出手法の提案 (2023)
  • Author(s): 富永大智，大久保隆夫
  • Organizer: コンピュータセキュリティシンポジウム(CSS2023)
• [Presentation] ALBERTを用いたマルウェア検知手法の提案 (2023)
  • Author(s): 脇谷峡平，大久保隆夫
  • Organizer: 第102回コンピュータセキュリティ(CSEC)研究発表会
• [Presentation] CAPEC によるアタックツリーの再利用性向上について (2022)
  • Author(s): 大矢政基、大久保隆夫
  • Organizer: コンピュータセキュリティシンポジウム2022