• 研究課題をさがす
  • 研究者をさがす
  • KAKENの使い方
  1. 前のページに戻る

DevOpsにおいて効率的にセキュリティ品質確保を行う技術の研究

研究課題

研究課題/領域番号 21K11895
研究種目

基盤研究(C)

配分区分基金
応募区分一般
審査区分 小区分60070:情報セキュリティ関連
研究機関情報セキュリティ大学院大学

研究代表者

大久保 隆夫  情報セキュリティ大学院大学, その他の研究科, 教授 (80417518)

研究分担者 海谷 治彦  神奈川大学, 理学部, 教授 (30262596)
研究期間 (年度) 2021-04-01 – 2025-03-31
研究課題ステータス 交付 (2023年度)
配分額 *注記
4,030千円 (直接経費: 3,100千円、間接経費: 930千円)
2023年度: 1,170千円 (直接経費: 900千円、間接経費: 270千円)
2022年度: 1,040千円 (直接経費: 800千円、間接経費: 240千円)
2021年度: 1,820千円 (直接経費: 1,400千円、間接経費: 420千円)
キーワードDevOps / セキュリティ / 脅威分析 / Attack Defense Trees / CAPEC / CWE / 効率化 / プロセスマイニング / Attack-Defence Tree / 省力化 / 要求策定 / 開発運用
研究開始時の研究の概要

本研究では、ソフトウェアの開発と運用サイクルの一手法であるDevOpsにおける実用的なセキュリティ品質確保手法についての研究を行う。本研究は、、次の方針に基づき研究を行う。
・運用情報からセキュリティ要求仕様に必要な情報を自動的に抽出し、セキュリティ要求仕様に反映
・適切にセキュリティ品質を確保する、運用のためのセキュリティ要求仕様の策定方法
・DevOpsにおける脅威分析の自動化/効率化
本研究により、運用で生じるセキュリティ課題を確実に次の開発でセキュリティ運用に反映させ、かつ開発の迅速さを維持しつつ適切なセキュリティ品質を保証することが可能となる。

研究実績の概要

2023年度は、前年度作成したCAPECから再利用可能な部品をAttack Treeのパターンとして抽出するツール「FRAT&RATTATA」を改良を行った。具体的には、攻撃の記述にに加え、対応する対策ノードまで記述可能なAttack Defense Trees(以下ADTrees)を生成可能なツール「COTTAGE」を提案し、実装、評価を行った。COTTAGEは対策まで導出可能にしただけではなく、CAPECに加えCWEを元にしたこと、および前年度のFRAT/RATTATAでは再利用率の低い問題の解決をはかった。COTTAGEに対し、実際に被験者に利用してもらいツリーを作成する実験を行ったところ、定性的にはFRATを用いた場合やパターンを用いない場合よりも高い評価が得られた。また、2022年に大久保らが発表したDevOpsにおいてADTreesを生成する研で用いたケーススタディを適用し、専門家が作成したADTreesと同等のTreeが作成できることを確認した。この研究成果について、2024年1月に開催された暗号と情報セキュリティシンポジウムにて発表した。
また、運用時において想定すべき脅威について深堀を行い、悪性コードが検出できるか、フィッシングメールが検出可能かの2点について研究をすすめ、それぞれの成果についてシンポジウムで発表を行った。

現在までの達成度 (区分)
現在までの達成度 (区分)

3: やや遅れている

理由

ただ、DevOpsへの適用においては、1ラウンド前の開発(Dev)で利用されたパターンが、再利用されているかを、それでなければ差分をとることが可能かについての検証が課題として残されている。

今後の研究の推進方策

2024年度は残った課題(1ラウンド前の開発(Dev)で利用されたパターンが、再利用されているかを、それでなければ差分をとることを可能にすることを目標とし、成果について論文誌または国際会議で発表する予定である。

報告書

(3件)
  • 2023 実施状況報告書
  • 2022 実施状況報告書
  • 2021 実施状況報告書
  • 研究成果

    (6件)

すべて 2024 2023 2022

すべて 雑誌論文 (1件) (うち査読あり 1件、 オープンアクセス 1件) 学会発表 (5件)

  • [雑誌論文] Efficient secure DevOps using process mining and Attack Defense Trees2022

    • 著者名/発表者名
      Okubo Takao、Kaiya Haruhiko
    • 雑誌名

      Procedia Computer Science

      巻: 207 ページ: 446-455

    • DOI

      10.1016/j.procs.2022.09.079

    • 関連する報告書
      2022 実施状況報告書
    • 査読あり / オープンアクセス
  • [学会発表] Attack Defense Treesを用いた脅威分析効率化支援手法の提案2024

    • 著者名/発表者名
      大久保隆夫、山本渓太、海谷晴彦
    • 学会等名
      2024年暗号と情報セキュリティシンポジウム
    • 関連する報告書
      2023 実施状況報告書
  • [学会発表] 自然言語処理を用いたスパムメールフィルタリング手法の提案2024

    • 著者名/発表者名
      脇谷峡平,大久保隆夫
    • 学会等名
      第104回コンピュータセキュリティ(CSEC)研究発表会
    • 関連する報告書
      2023 実施状況報告書
  • [学会発表] BERTを用いソフトウェアサプライチェーン攻撃検出手法の提案2023

    • 著者名/発表者名
      富永大智,大久保隆夫
    • 学会等名
      コンピュータセキュリティシンポジウム(CSS2023)
    • 関連する報告書
      2023 実施状況報告書
  • [学会発表] ALBERTを用いたマルウェア検知手法の提案2023

    • 著者名/発表者名
      脇谷峡平,大久保隆夫
    • 学会等名
      第102回コンピュータセキュリティ(CSEC)研究発表会
    • 関連する報告書
      2023 実施状況報告書
  • [学会発表] CAPEC によるアタックツリーの再利用性向上について2022

    • 著者名/発表者名
      大矢政基、大久保隆夫
    • 学会等名
      コンピュータセキュリティシンポジウム2022
    • 関連する報告書
      2022 実施状況報告書

URL: 

公開日: 2021-04-28   更新日: 2024-12-25  

サービス概要 検索マニュアル よくある質問 お知らせ 利用規程 科研費による研究の帰属

Powered by NII kakenhi