| 研究課題/領域番号 |
23500042
|
|---|
| 研究機関 | 信州大学 |
|---|
研究代表者 |
海谷 治彦 信州大学, 工学部, 准教授 (30262596)
|
|---|
| キーワード | アセットフロー / モデリング / モデル検査 / アーキテクチャ |
|---|
| 研究概要 |
本年度の研究実績の中心となるのは,ユースケースモデルを入力して,脆弱性を分析するためのモデリングツールの完成と,同モデリングツールで作成したモデルにおいて脆弱性を自動的に発見するための検査ツールの完成である.前者はEclipse上で動作する.入力されたユースケースモデルを想定するシステムアーキテクチャにそって,段階的にデータフロー図に似た表記であるアッセフロー図に変換する支援を行う.後者はRubyによって記述された独立したツールである.予め準備された脆弱性を検知するためのパターンに基づき,アセットフロー図上の脆弱性を自動的に発見する機能を有する.同ツールを用いた本格的な評価実験はこれからであるが,小規模な例題に適用した成果を学会の研究会で発表した.
現時点ではまだ掲載はされていないが,昨年度に構築した本ツール群の基礎理論は国際ジャーナルに採録が決定している.
モデリングツールでは研究提案当初は想定していなかったシステムを稼動させるシステム構成(システムアーキテクチャ)も入力として利用できる.これは,例えばクラウドアーキテクチャ上にシステムを構築する場合と,独立した三層アーキテクチャ上でシステムを構築する場合とでは,想定しうる脅威やその対策は異なるからである.この新たなアイディア部分を国際会議で発表した.
また,選択された対策の利点とダメージを定量化するための新たな枠組みも提案し,この結果も国際会議で発表を行った.
|
| 現在までの達成度 (区分) |
現在までの達成度 (区分)
2: おおむね順調に進展している
理由
研究提案時点での計画ではツール開発は来年度(最終年度)の目標であった.しかし,この目標を前倒しして達成することができた.来年度はツールを用いた手法の評価を集中して行うことが可能である.
また,提案時の計画には無かった新たなアイディアであるシステムアーキテクチャを考慮した脅威とその対策の模索法を考案でき,その手法も支援ツールに実現することができている.
以上より,研究進捗は概ね順調であると結論付けられる.
|
| 今後の研究の推進方策 |
今後の研究では,支援ツールを用いた提案手法の評価が中心となる.主な評価項目としては,支援ツールによってセキュリティ上の脅威が網羅的に発見できるか否か,それぞれの脅威に対する対策を網羅的に発見できるか否かである.これらの評価はテストケースを用いた動作テストを行うことが可能である.さらに,アーキテクチャを考慮してユースケースモデル詳細化を行う支援機能に関する利用性の評価である.この評価を行うためには被験者を用いた運用実験が必要である.これらの評価を通じて,提案手法の修正,ツールの改善を行ってゆく予定である.また,開発支援ツールとその評価を中心としたシステム開発論文の執筆を行う予定である.
|
| 次年度の研究費の使用計画 |
本年度においては,当初計画で見込んだよりも安価に研究が完了したため,次年度使用額が生じた.次年度の研究費の使途は,主に国際会議における発表旅費と,ツール評価のためのコンピュータの購入費用が中心となる.現時点で投稿している国際会議での発表を含め,2~3編程度の発表旅費が必要である.また,日本国内の論文誌に論文が掲載された場合,平均して20万円程度の掲載料が徴収される.次年度使用額は国際会議の参加費もしくは国内論文の掲載料として利用する予定である.
|
