| 研究課題/領域番号 |
21K11895
|
|---|
| 研究種目 |
基盤研究(C)
|
| 配分区分 | 基金 |
|---|
| 応募区分 | 一般 |
|---|
| 審査区分 |
小区分60070:情報セキュリティ関連
|
|---|
| 研究機関 | 情報セキュリティ大学院大学 |
|---|
研究代表者 |
大久保 隆夫 情報セキュリティ大学院大学, その他の研究科, 教授 (80417518)
|
|---|
| 研究分担者 |
海谷 治彦 神奈川大学, 理学部, 教授 (30262596)
|
|---|
| 研究期間 (年度) |
2021-04-01 – 2025-03-31
|
| 研究課題ステータス |
交付 (2023年度)
|
| 配分額 *注記 |
4,030千円 (直接経費: 3,100千円、間接経費: 930千円)
2023年度: 1,170千円 (直接経費: 900千円、間接経費: 270千円)
2022年度: 1,040千円 (直接経費: 800千円、間接経費: 240千円)
2021年度: 1,820千円 (直接経費: 1,400千円、間接経費: 420千円)
|
|---|
| キーワード | DevOps / セキュリティ / 脅威分析 / Attack Defense Trees / CAPEC / CWE / 効率化 / プロセスマイニング / Attack-Defence Tree / 省力化 / 要求策定 / 開発運用 |
|---|
| 研究開始時の研究の概要 |
本研究では、ソフトウェアの開発と運用サイクルの一手法であるDevOpsにおける実用的なセキュリティ品質確保手法についての研究を行う。本研究は、、次の方針に基づき研究を行う。
・運用情報からセキュリティ要求仕様に必要な情報を自動的に抽出し、セキュリティ要求仕様に反映
・適切にセキュリティ品質を確保する、運用のためのセキュリティ要求仕様の策定方法
・DevOpsにおける脅威分析の自動化/効率化
本研究により、運用で生じるセキュリティ課題を確実に次の開発でセキュリティ運用に反映させ、かつ開発の迅速さを維持しつつ適切なセキュリティ品質を保証することが可能となる。
|
| 研究実績の概要 |
2023年度は、前年度作成したCAPECから再利用可能な部品をAttack Treeのパターンとして抽出するツール「FRAT&RATTATA」を改良を行った。具体的には、攻撃の記述にに加え、対応する対策ノードまで記述可能なAttack Defense Trees(以下ADTrees)を生成可能なツール「COTTAGE」を提案し、実装、評価を行った。COTTAGEは対策まで導出可能にしただけではなく、CAPECに加えCWEを元にしたこと、および前年度のFRAT/RATTATAでは再利用率の低い問題の解決をはかった。COTTAGEに対し、実際に被験者に利用してもらいツリーを作成する実験を行ったところ、定性的にはFRATを用いた場合やパターンを用いない場合よりも高い評価が得られた。また、2022年に大久保らが発表したDevOpsにおいてADTreesを生成する研で用いたケーススタディを適用し、専門家が作成したADTreesと同等のTreeが作成できることを確認した。この研究成果について、2024年1月に開催された暗号と情報セキュリティシンポジウムにて発表した。
また、運用時において想定すべき脅威について深堀を行い、悪性コードが検出できるか、フィッシングメールが検出可能かの2点について研究をすすめ、それぞれの成果についてシンポジウムで発表を行った。
|
| 現在までの達成度 (区分) |
現在までの達成度 (区分)
3: やや遅れている
理由
ただ、DevOpsへの適用においては、1ラウンド前の開発(Dev)で利用されたパターンが、再利用されているかを、それでなければ差分をとることが可能かについての検証が課題として残されている。
|
| 今後の研究の推進方策 |
2024年度は残った課題(1ラウンド前の開発(Dev)で利用されたパターンが、再利用されているかを、それでなければ差分をとることを可能にすることを目標とし、成果について論文誌または国際会議で発表する予定である。
|
