| 研究課題/領域番号 |
24300011
|
|---|
| 研究機関 | 国立情報学研究所 |
|---|
研究代表者 |
吉岡 信和 国立情報学研究所, アーキテクチャ研究系, 准教授 (20390601)
|
|---|
| 研究分担者 |
海谷 治彦 信州大学, 工学部, 准教授 (30262596)
鷲崎 弘宜 早稲田大学, 理工学術院, 准教授 (70350494)
|
|---|
| 研究期間 (年度) |
2012-04-01 – 2015-03-31
|
| キーワード | セキュリティ / ソフトウェア学 / パターン / 脆弱性分析 / セキュリティ要求 |
|---|
| 研究概要 |
セキュリティ要求の変化に対して迅速な対応を行うためには、対策の設計を行う前に、複数の対策から適切な対策を選択する指針となる高精度な対策コストの予測と、選択した対策が可能な限り自動的に追加できる仕組みが必要である。そこで、本提案では、セキュリティパターンを脅威パターン、攻撃パターン、対策パターンの3つに分類し、それぞれの関連を明らかにすることで、各開発工程でモデル化されるセキュリティの関心事間の関連(縦方向のトレース)を導出できるようにする。さらにアプリケーションとパターンの関連(横方向のトレース)を明らかにするために、セキュリティパターンにより得られる情報を、セキュリティモデル中のステレオタイプで付加する方法を提案する。これらの分析結果を新しい攻撃や脅威の対応の際に再利用することで、対策コストの予測やその自動追加が実現できる。平成24年度はセキュリティ分析・設計に必要な情報を整理しながら行い、インパクトの予測と自動化が扱える統一的な言語を構築した。そして、対策を自動追加する仕組みを鷲崎が中心に開発した。さらに、オープンソースの事例を使ってこれを評価した。平成25年度は、さらに中規模な事例として大学の学生管理システムを提案手法に基づき設計し、その問題点をもとにメタモデルの改良を行った。具体的には学生管理システムの要求仕様を作り、設計を行った。その後、産学の協力者により、この仕様に対するセキュリティ要求とそれに対応した設計を本手法を含むいくつかの手法を使って作成した。その結果、従来手法で発見が難しかった脅威や要求が摘出され、本手法の有効性が確認できた。また、プライバシーの考慮など、これまで提案手法で考慮していなかった観点についても分析手法が必要であることが確認され、今後の課題が整理できた。
|
| 現在までの達成度 (区分) |
現在までの達成度 (区分)
2: おおむね順調に進展している
理由
具体的な例題を構築でき、実用性の評価および今後の課題が整理できた。
|
| 今後の研究の推進方策 |
平成25年度の評価結果を受けて、手法を洗練化させるとともに、開発プロセスをサポートするツールを改良する。そして、課題に挙げられたプライバシー要求等への拡張を行う。さらに、ツールを普及させるためにドキュメント等整理し、Webから公開する。
|
| 次年度の研究費の使用計画 |
中規模の事例の構築に学生の謝金を計上していたが、教育の一環として構築を行ったため研究補助として計上していた謝金費用が不要となった。
平成25年度に整理できた課題を解決するためにツールを拡張し完成度を向上させるための費用とする。さらに、事例の洗練を行うために学生への研究補助のための謝金、およびその他の費用で外注として使用する。
|
