情報システムの要求分析段階における脆弱性除去と対策選択を支援するシステムの開発

2013 年度 実績報告書

• 研究課題/領域番号: 23500042
• 研究機関: 信州大学
• 研究代表者: 海谷 治彦 信州大学, 工学部, 准教授 (30262596)
• キーワード: アセットフロー / モデリング / モデル検査 / アーキテクチャ / オントロジ

研究概要

昨年度，開発した脆弱性を分析するためのモデリングツールと，モデル上での脆弱性を発見するための検査ツールを統合し，対策コストとダメージの予測を行うツールを構築した．モデル上の情報の流れを本研究ではアセットフローと呼ぶ．複数の異なるアセットフローがある脆弱性が発生する原因となる場合があり，それぞれのアセットフローの長さや複雑さは異なる．この原因となるアセットフロー群の長さの違い，フロー途中の要素の違いに着目し，対策コストの優先度付けを行った．単にフロー長の比較を行うだけでは，どの原因が重大かを判断し難い．そこで，複数のフローを可視化する機能をモデリングツールに付与した．昨年度までのモデリングツールはアセットフローの始点と終点のみが可視化されていた．今年度の研究によって，フローのパス全体の可視化と，異なるフローを比較して可視化することが可能となった．
計画時点では初年度に完成予定であったオントロジに基づく用語統一を行うツールも完成することができた．OWASP等のセキュリティデータベースに用いられている技術用語と仕様書に用いられる対象業務寄りの用語には大きなギャップが存在する．例えば，仕様書では「顧客名簿を登録し検索可能とする」等の業務寄りの表現が当然用いられる．一方，OWASPでは「SQLのクエリについて・・・」等の技術用語で構成された文書がほとんどである．これらのギャップを埋めるため，技術用語-一般用語対応表を収集し，想定するアーキテクチャ毎に対応表を洗練する手法とツールを開発した．
本研究で開発した手法とツールを，大学における在学生，卒業生の個人情報管理のためのウエブアプリケーションにおけるセキュリティ要求分析に適用し，セキュリティ専門家が発見する脅威を非専門家でも発見できることを確認した．

研究成果

• [雑誌論文] 情報検索手法に基づくトレーサビリティリンク回復のための手法オプションについてのマイニングの提案と評価 (2014)
  • 著者名/発表者名: 上田 健之, 小形 真平, 海谷 治彦, 海尻 賢二.
  • 雑誌名: 電子情報通信学会論文誌 巻: J97-D, 3 ページ: 414-426
  • 査読あり
• [雑誌論文] 機能要求に必要な品質要求の機械学習による予測法 (2014)
  • 著者名/発表者名: 田中 賢, 海谷 治彦, 大西 淳.
  • 雑誌名: 電子情報通信学会論文誌 巻: J96-D, 11 ページ: 2646-2656
  • 査読あり
• [雑誌論文] Eliciting Security Requirements for an Information System using Asset Flows and Processor Deployment (2013)
  • 著者名/発表者名: Haruhiko Kaiya, Junya Sakai, Shinpei Ogata and Kenji Kaijiri
  • 雑誌名: International Journal of Secure Software Engineering (IJSSE), IGI Global 巻: Vol.4, Issue3 ページ: 42-63
  • DOI: 10.4018/jsse.2013070103
  • 査読あり
• [雑誌論文] Spectrum analysis on quality requirements consideration in software design documents (2013)
  • 著者名/発表者名: Haruhiko Kaiya, Masahiro Umemura, Shinpei Ogata, and Kenji Kaijiri
  • 雑誌名: SpringerPlus 巻: Vol.2, Issue1, No.310 ページ: 1-14
  • DOI: 10.1186/2193-1801-2-310
  • 査読あり
• [雑誌論文] Enhancing Goal-Oriented Security Requirements Analysis Using Common Criteria-Based Knowledge (2013)
  • 著者名/発表者名: Motoshi Saeki, Shinpei Hayashi, Haruhiko Kaiya
  • 雑誌名: International Journal of Software Engineering and Knowledge Engineering (IJSEKE). World Scientific Publishing 巻: Vol.23, No.05 ページ: 695-720
  • DOI: 10.1142/S0218194013500174
  • 査読あり
• [雑誌論文] Finding incorrect and missing quality requirements definitions using requirements frame (2012)
  • 著者名/発表者名: Haruhiko Kaiya and Atsushi Ohnishi
  • 雑誌名: IEICE Transactions on Information and Systems 巻: Vol.E95-D, No.4 ページ: 1031-1043
  • DOI: 10.1587/transinf.E95.D.1012
  • 査読あり
• [学会発表] Security Driven Requirements Refinement and Exploration of Architecture with multiple NFR points of view (2014)
  • 著者名/発表者名: Takao Okubo, Nobukazu Yoshioka, and Haruhiko Kaiya.
  • 学会等名: IEEE 15th International Symposium on High-Assurance Systems Engineering (HASE 2014)
  • 発表場所: Miami, Florida, USA
  • 年月日: 20140109-20140111
• [学会発表] IR based Traceability Link Recovery Method Mining (2013)
  • 著者名/発表者名: Takeyuki Ueda, Shinpei Ogata, Haruhiko Kaiya, and Kenji Kaijiri.
  • 学会等名: The Eightth International Conference on Software Engineering Advances (ICSEA13)
  • 発表場所: Venice, Italy
  • 年月日: 20131027-20131101
• [学会発表] Validating Security Design Pattern Applications Using Model Testing (2013)
  • 著者名/発表者名: Takanori Kobashi, Nobukazu Yoshioka, Takao Okubo, Haruhiko Kaiya, Hironori Washizaki and Yoshiaki Fukazawa.
  • 学会等名: International Conference on Availability, Reliability and Security (ARES 2013)
  • 発表場所: Regensburg, Germany
  • 年月日: 20130902-20130906
• [学会発表] Goal-oriented security requirements analysis for a system used in several different activities (2013)
  • 著者名/発表者名: Haruhiko Kaiya, Takao Okubo, Nobuyuki Kanaya, Yuji Suzuki, Shinpei Ogata, Kenji Kaijiri, and Nobukazu Yoshioka.
  • 学会等名: Third International Workshop on Information Systems Security Engineering - WISSE'13
  • 発表場所: Valencia, Spain
  • 年月日: 20130618-20130618