2022 Fiscal Year Research-status Report
DevOpsにおいて効率的にセキュリティ品質確保を行う技術の研究
| Project/Area Number |
21K11895
|
|---|
| Research Institution | Institute of Information Security |
|---|
Principal Investigator |
大久保 隆夫 情報セキュリティ大学院大学, その他の研究科, 教授 (80417518)
|
|---|
| Co-Investigator(Kenkyū-buntansha) |
海谷 治彦 神奈川大学, 理学部, 教授 (30262596)
|
|---|
| Project Period (FY) |
2021-04-01 – 2024-03-31
|
| Keywords | DevOps / セキュリティ / 効率化 / Attack Defense Trees / CAPEC / CWE / プロセスマイニング |
|---|
| Outline of Annual Research Achievements |
本研究は、DevOpsにおけるセキュリティの効率的な分析手法について研究することを目的としているものである。
2021年度は、脅威分析手法の一tで、攻撃と対策の関係を記述可能なAttack Defense Treesとプロセスマイニングによる効率的なDevOps向けのセキュリティ確保手法について検討したが、2022年度は、2021年度に開発したこの手法を完成し、国際会議KES2022(イタリア、ベローナ、2022年9月)のワークショップにおいて提案を行った。提案手法は、DevOpsの最初の開発時に脅威分析によって開発者が構築したAttack Defense Treesを以降の繰り返しでは差分のみ参照するようにして、毎回脅威分析を1から行う手間を省力化することを狙っている。
また、運用(Ops)で検出された異常をログなどから抽出し、その異常からCommon Attack Pattern Enumeration and Classification (CAPEC),Common Weakness Exposure(CWE)の知識ベースを利用して脅威→攻撃→脆弱性→対策の順に導出していき、最終的に次のセキュリティ要件に追加していく手法である。
また、この手法を実現するツールとして、情報セキュリティ大学院大学においては、Attack Treeのパターン化と再利用の研究を進めた。その結果、知識ベースCAPECから攻撃対象と攻撃要件を自動抽出することにより、パターン化が高精度に行えることが分かった。この成果は2022年コンピュータセキュリティシンポジウム(CSS2022)において発表し、研究奨励賞を受賞した。
|
| Current Status of Research Progress |
Current Status of Research Progress
2: Research has progressed on the whole more than it was originally planned.
Reason
セキュアなDevOps開発を効率化する全体的な手法については、2年目までで、Attack Defense Treeの差分と、知識ベースを活用して分析を支援する手法を提案した。また、分析を支援するためのツールについても、Attack Treeについて分析し、CAPECを用いてパターン化に成功し、再利用、効率化を進めるためのツールが、一部完成した。
|
| Strategy for Future Research Activity |
提案手法を支援スルツールについては、CAPECを用いたAttack Treeのパターン化まではできているので、今後はこれを提案で用いるAttack Defense Treesに展開できるように拡張する予定である。また、CAPECだけでなくCWEを用いることで、よりよいパターン化ができる見込みができているので、その実現を進め、完成したツールについて実際にDevOpeの現場で有効かの評価を行う予定である。
|
| Causes of Carryover |
コロナ禍により、予定していた研究会がハイブリッドになったため、旅費の費用が不要になった。
|
Research Products
(2 results)
