| 研究課題/領域番号 |
21K11895
|
|---|
| 研究機関 | 情報セキュリティ大学院大学 |
|---|
研究代表者 |
大久保 隆夫 情報セキュリティ大学院大学, その他の研究科, 教授 (80417518)
|
|---|
| 研究分担者 |
海谷 治彦 神奈川大学, 理学部, 教授 (30262596)
|
|---|
| 研究期間 (年度) |
2021-04-01 – 2024-03-31
|
| キーワード | DevOps / セキュリティ / Attack-Defence Tree / 脅威分析 / 省力化 / 要求策定 / CAPEC / CWE |
|---|
| 研究実績の概要 |
DevOpsにおいて、現在DevSecOpsなどにおいても自動化されていない、運用におけるセキュリティ問題の次期開発における要求仕様への反映と、セキュリティ脅威分析について、従来作業よりも省力化を目標とした手法の研究を行った。繰り返し型開発において、脅威分析時にAttack-Defence-Tree(ADTree)を構築することを前提とし、運用時のログから識別した脅威に対し、Common Attack Pattern Enumeration and Classification(CAPEC)、Common Weakness Exposures(CWE)両データベースおよびデータベース項目の関連を利用して、要求仕様策定者に脅威と推奨対策を、ADTreeの差分として提供する。策定者は既存のADTreeを利用すること、運用の結果から情報提供を受けることで、新規に一から分析を行う必要がなくなり、省力化への寄与が可能となる。
この提案方式について論文化し、2022年9月にイタリア、ヴェローナで開催される国際会議26th International Conference on Knowledge Based and Intelligent information and Engineering Systems(KES2022)に投稿し、採択された。この成果については、当該会議で発表を行う予定である。
|
| 現在までの達成度 (区分) |
現在までの達成度 (区分)
2: おおむね順調に進展している
理由
当初の目的であるDevOpsのセキュリティ作業の省力化、および運用と開発の連携について、一手法を考案し、提案、論文として採択された。1年目としてはほぼ予定通りの成果ととらえている。
|
| 今後の研究の推進方策 |
今年度は研究成果について発表を行う。また、提案手法のシステム化と評価を進める予定である。
また、運用からの検知手法や、脅威分析について、AI的な手法の導入を検討する。
|
| 次年度使用額が生じた理由 |
機械学習用に予定していたコンピュータが、予定よりも安価で購入できたため。
ただし、今年度は学会発表による旅費の増加を予定しているため、その分で使用する見込み。
|
