セキュリティの変化に迅速に対応できるパターン指向ソフトウェア開発法の研究

2014 年度 実績報告書

• 研究課題/領域番号: 24300011
• 研究機関: 国立情報学研究所
• 研究代表者: 吉岡 信和 国立情報学研究所, アーキテクチャ科学研究系, 准教授 (20390601)
• 研究分担者: 海谷 治彦 神奈川大学, 理学部, 教授 (30262596) ; 鷲崎 弘宜 早稲田大学, 理工学術院, 准教授 (70350494)
• 研究期間 (年度): 2012-04-01 – 2015-03-31
• キーワード: セキュリティ / ソフトウェア学 / パターン / 脆弱性分析 / セキュリティ要求

研究実績の概要

セキュリティ要求の変化に対して迅速な対応を行うためには、対策の設計を行う前に、複数の対策から適切な対策を選択する指針となる高精度な対策コストの予測と、選択した対策が可能な限り自動的に追加できる仕組みが必要である。そこで、本提案では、セキュリティパターンを脅威パターン、攻撃パターン、対策パターンの３つに分類し、それぞれの関連を明らかにすることで、各開発工程でモデル化されるセキュリティの関心事間の関連（縦方向のトレース）を導出できるようにする。さらにアプリケーションとパターンの関連（横方向のトレース）を明らかにするために、セキュリティパターンにより得られる情報を、セキュリティモデル中のステレオタイプで付加する方法を提案する。これらの分析結果を新しい攻撃や脅威の対応の際に再利用することで、対策コストの予測やその自動追加が実現できる。平成２４年度はセキュリティ分析・設計に必要な情報を整理しながら行い、インパクトの予測と自動化が扱える統一的な言語を構築した。そして、対策を自動追加する仕組みを鷲崎が中心に開発した。さらに、オープンソースの事例を使ってこれを評価した。平成２５年度は、さらに中規模な事例として大学の学生管理システムを提案手法に基づき設計し、その問題点をもとにメタモデルの改良を行った。最終年度となる平成２６年度は、ツールを洗練しWebから公開を行った。さらに、プライバシーの考慮など、これまで提案手法で考慮していなかった観点についても分析を行い、ツールの有効性と今後の課題が整理できた。

現在までの達成度 (段落)

26年度が最終年度であるため、記入しない。

今後の研究の推進方策

26年度が最終年度であるため、記入しない。

次年度使用額が生じた理由

26年度が最終年度であるため、記入しない。

次年度使用額の使用計画

26年度が最終年度であるため、記入しない。

研究成果

• [雑誌論文] Requirements Refinement and Exploration of Architecture for Security and Other NFRs (2014)
  • 著者名/発表者名: Takao Okubo, Nobukazu Yoshioka, Haruhiko Kaiya
  • 雑誌名: The Fourth International Workshop on Information Systems Security Engineering - WISSE'14 巻: LNBIP 178 ページ: 286-298
  • DOI: 0.1007/978-3-319-07869-4_27
  • 査読あり
• [雑誌論文] Security Requirements Analysis using Knowledge in CAPEC (2014)
  • 著者名/発表者名: Haruhiko Kaiya, Sho Kouno, Shinpei Ogata, Takuo Okubo, Nobukazu Yoshioka, Hironori Washizaki and Kenji Kaijiri
  • 雑誌名: The Fourth International Workshop on Information Systems Security Engineering - WISSE'14 巻: LNBIP 178 ページ: 343-348
  • DOI: 10.1007/978-3-319-07869-4_32
  • 査読あり
• [雑誌論文] MASG: Advanced Misuse case with Assets and Security Goals (2014)
  • 著者名/発表者名: Okubo Takao, Kenji Taguchi, Kaiya Haruhiko, Yoshioka Nobukazu
  • 雑誌名: Journal of Information Processing,Information Processing Society of Japan 巻: 22, 3 ページ: 536-546
  • DOI: 10.2197/ipsjjip.22.536
  • 査読あり / オープンアクセス
• [雑誌論文] Verification of Implementing Security Design Patterns Using a Test Template (2014)
  • 著者名/発表者名: Masatoshi Yoshizawa, Takanori Kobashi, Hiroyoshi Washizaki, Yoshiaki Fukazawa, Takao Okubo, Haruhiko Kaiya and Nobukazu Yoshioka
  • 雑誌名: Proceedings of 9th International Conference on Availability, Reliability and Security 巻: ARES2014 ページ: 178-183
  • DOI: 10.1109/ARES.2014.31
  • 査読あり
• [雑誌論文] Security and Privacy Behavior Definition for Behavior Driven Development (2014)
  • 著者名/発表者名: Takao Okubo, Yoshio Kakizaki, Yoshinori Kobashi, Hironori Washizaki, Shinpei Ogata, Haruhiko Kaiya and Nobukazu Yoshioka
  • 雑誌名: In proceedings of The 15th International Conference of Product Focused Software Development and Process Improvement (PROFES 2014) 巻: LNCS 8892 ページ: 306-309
  • DOI: 10.1007/978-3-319-13835-0_28
  • 査読あり
• [雑誌論文] Validating Security Design Pattern Applications by Testing Design Models (2014)
  • 著者名/発表者名: Takanori Kobashi, Nobukazu Yoshioka, Takao Okubo, Haruhiko Kaiya, Hironori Washizaki,Yoshiaki Fukazawa
  • 雑誌名: International Journal of Secure Software Engineering (IJSSE) 巻: Vol.5, No.4 ページ: 1-30
  • DOI: 10.4018/ijsse.2014100101
  • 査読あり
• [学会発表] Abstract security patterns for requirements and analysis of secure systems (2014)
  • 著者名/発表者名: Eduardo B. Fernandez, Nobukazu Yoshioka, Hironori Washizaki and Joseph Yoder
  • 学会等名: 17th Workshop on Requirements Engineering(WER 2014)
  • 発表場所: Pucon, Chili
  • 年月日: 2014-04-23 – 2014-04-25