| 研究概要 |
平成19年度は,平成17年度および平成18年度に続き,利用者とソフトウェアの振る舞いを時系列に沿って記述したシナリオを用いて,ソフトウェアアプリケーションのセキュリティ要求を獲得・分析し,ソフトウェア要求仕様書に記述すべき機能・性能および程度を明確にすることを目的として研究を行った.
ソフトウェア要求仕様書に必要なセキュリティ要求の具体例として,標準的なセキュリティ監査基準を利用する方法について,アスペクト指向技術を取り入れた方法として確立した方法を,さらに拡充し,第7回ソフトウェア品質に関する国際会議(The 7th International Conference on Software Quality, QSIC2007)に投稿し,フルペーパーとして採録に至った.この方法は立命館大学の大西らが開発しているシナリオ言語SLAFを拡張し,セキュリティ監査基準に基づくシナリオを正常シナリオにアスペクトとして織り込む方法である.通常のアスペクト指向技術と逆方向の手順を用いることでセキュリティ要求獲得が行えることを示し,新たな知見を与えた.
この方法では,セキュリティ要求として記述される条件(原因)と対処方法の組み合わせがセキュリティ監査基準に含まれる一般的なものに限られることがわかった.ソフトウェアアプリケーションごとのさらに適切な条件と対処方法を発見するために,利用者に対してわかりやすく条件を示した上うえで対処方法を獲得する方法として,前述のシナリオに対するアスペクト指向技術をさらに拡張し,条件を織り込んで対処方法を得る方法を考案した.
この方法はセキュリティに関する振る舞いの確認・検証に利用できることが判明したため,前述のSLAFにさらに拡張を施し,シナリオに出現するアクタの状況を記述して利用する方法を提案した.この成果は日本ソフトウェア科学会ソフトウェア工学の基礎ワークショップFOSE2007に投稿し,採録に至った.
これらの成果は論文として投稿する予定である.
|
