| 研究概要 |
ソフトウェアの脆弱性を定量的に評価するために,まず,従来のソフトウェア信頼性の研究分野で用いられてきた考え方である,ソフトウェア内に残存するフォールトとそれに対する発見・修正過程の模式図であるIPOモデルを取り上げ,これを基本として,脆弱性と信頼性の捉え方の違いについて考察を行った.その結果,ソフトウェアの脆弱性を「ソフトウェア開発者とは異なる視点によって初めて発見可能となるソフトウェアフォールトが原因となって深刻な処理結果を招くソフトウェア故障が発生する性質や度合」と定義した.これにより,脆弱性を評価しようとするソフトウェアの運用段階において,深刻な処理結果を招くソフトウェア故障を生じ,それに対処する(当該フォールトを修正・除去する)ことによってそのソフトウェアの脆弱性が向上するという現象は,従来のソフトウェア信頼性の評価法を援用することで,定量的に評価可能であることが示された.具体的には,ソフトウェア信頼性評価モデルの一つである,遅延S字形ソフトウェア信頼度成長モデルを拡張し,ソフトウェアを運用・保守する防御者と,ソフトウェア内に潜在するセキュリティホールを探し出して攻撃する攻撃者側のそれぞれのソフトウェアフォールトの発見過程を,NHPP(非同次ポアソン過程)に基づいて構築した.また,長期に渡って運用・保守されている電子メール配信プログラムsendmailを取り上げ,この保守データを解析することにより,構築した脆弱性評価モデルを用いてsendmailの脆弱性評価を行ってみた.これにより,モデルから導出されたいくつかの定量的な脆弱性評価尺度の推定値を得ることが出来た.また,構築したモデルとデータとの適合性もコルモゴロフ・スミルノフ検定により調べ,このデータに対してはよく適合することが確認された.
これらの研究成果は論文としてまとめ,現在日本信頼性学会誌に投稿中である.
|
