研究課題/領域番号 |
16K00196
|
研究種目 |
基盤研究(C)
|
配分区分 | 基金 |
応募区分 | 一般 |
研究分野 |
情報セキュリティ
|
研究機関 | 情報セキュリティ大学院大学 |
研究代表者 |
大久保 隆夫 情報セキュリティ大学院大学, その他の研究科, 教授 (80417518)
|
研究期間 (年度) |
2016-04-01 – 2019-03-31
|
研究課題ステータス |
完了 (2018年度)
|
配分額 *注記 |
4,160千円 (直接経費: 3,200千円、間接経費: 960千円)
2018年度: 1,690千円 (直接経費: 1,300千円、間接経費: 390千円)
2017年度: 1,430千円 (直接経費: 1,100千円、間接経費: 330千円)
2016年度: 1,040千円 (直接経費: 800千円、間接経費: 240千円)
|
キーワード | 形式手法 / モデル検査 / セキュリティ / リスク評価 / 攻撃可能性 / アタックツリー / 到達可能性 / Webアプリケーション / 機械学習 / 攻撃可能性評価 / 知識ベース / 分析効率化 / CAPEC / CWE / セーフティ / 攻撃モデル / 攻撃解析 / ソフトウェア開発 |
研究成果の概要 |
本研究では、開発中のシステム/ソフトウェアに対するセキュリティリスク評価をするために、対象のシステムを形式的にモデル化し、モデルに対する攻撃可能性を形式手法で検証することで、開発途中におけるリスク評価を行うことができるかの研究を行った。一定の脆弱性モデルを設定することで、SPINやProverif、EVENT-Bなどの形式手法を用いて攻撃可能性の検証を行うことは可能であることが分かった。しかし、具体的脆弱性を扱う場合には脆弱性をある程度明示的に埋めこまないとならないことが分かった。
|
研究成果の学術的意義や社会的意義 |
本研究は、攻撃可能性をシステムのセキュリティリスク評価に検討できる可能性を示した。モデル検査を用いた形式手法を用いる場合は、設計仕様などをもとにモデル検査記述言語で対象システムの脆弱性を明示的にモデル化することで、リスク評価が可能になる。その他、未知脆弱性を扱う場合は、脅威分析におけるアタックツリーの妥当性を評価し、再構築すること、あるいは攻撃可能性を機械学習によって示すことで、一定のリスク評価が可能であることを示した。
|