Title:
原因指向脆弱性モデルに基づくWebアプリケーションのセキュリティ要求分析支援
Author(s):
西野 裕範, 阪井 隼也, 海谷 治彦, 海尻 賢二.
Source:
電子情報通信学会技術研究報告, Vol. 111, No. 396, pp. 31-36, 23 Jan. 2012.
ISSN 0913-5685,
知能ソフトウェア工学
KBSE2011-58,
機械振興会館.
Abstract:
情報システムの要求仕様としてユースケースモデルが利用されることがあるが,このモデルでは,データ
や情報については意図的に記述しない傾向にある.しかし,データや情報を扱うことなく,セキュリティにおいての
アセット保護を分析することは困難である.アセットに被害を与える攻撃はシステムの特性の一部を利用するが,そ
のような特性を我々は脆弱性とみなす.本稿では,脆弱性の原因となるアセットの流れを分析する手法であるCOVA
(Cause-Oriented Vulnerability Analysis) を提案する.COVA では,データフロー図の一種であるアセットフロー図
を用いて,ユースケースモデルを補完する.本手法によって,開発文書や成果物の詳細度に応じて,脆弱性が推測で
き,攻撃による脆弱性の利用を阻止もしくは軽減する対策の模索を支援できる.
Related Paper(s):