講演抄録/キーワード |
講演名 |
2012-01-23 15:00
原因指向脆弱性モデルに基づくWebアプリケーションのセキュリティ要求分析支援 ○西野裕範・阪井隼也・海谷治彦・海尻賢二(信州大) KBSE2011-58 |
抄録 |
(和) |
情報システムの要求仕様としてユースケースモデルが利用されることがあるが,
このモデルでは,データや情報については意図的に記述しない傾向にある.
しかし,データや情報を扱うことなく,
セキュリティにおいてのアセット保護を分析することは困難である.
アセットに被害を与える攻撃はシステムの特性の一部を利用するが,
そのような特性を我々は脆弱性とみなす.
本稿では,
脆弱性の原因となるアセットの流れを分析する手法である
COVA (Cause-Oriented Vulnerability Analysis)を提案する.
COVAでは,
データフロー図の一種であるアセットフロー図を用いて,
ユースケースモデルを補完する.
本手法によって,
開発文書や成果物の詳細度に応じて,脆弱性が推測でき,
攻撃による脆弱性の利用を阻止もしくは軽減する対策の模索を支援できる. |
(英) |
Use case models are frequently used to specify requirements for an information system, but such models do not permit us to represent data and/or information explicitly.
It is however difficult to analyze the protection for assets without modeling data and/or information.
We regard vulnerability is a part of system properties used for attacks on such assets.
In this paper, we propose A Cause-Oriented Vulnerability Analysis (COVA) to find such vulnerabilities, attacks and their countermeasures.
In COVA, an extended version of a data flow diagram called {\it an asset flow diagram} is used for specify dependencies among different kinds of assets in a system.
A use case diagram and its asset flow diagram are complementary to each other during COVA. |
キーワード |
(和) |
要求分析 / セキュリティ / アセット / 脆弱性 / 対策 / ユースケースモデル / / |
(英) |
Requirements Analysis / Security / Asset / Vulnerability / Countermeasure / Use case model / / |
文献情報 |
信学技報, vol. 111, no. 396, KBSE2011-58, pp. 31-36, 2012年1月. |
資料番号 |
KBSE2011-58 |
発行日 |
2012-01-16 (KBSE) |
ISSN |
Print edition: ISSN 0913-5685 Online edition: ISSN 2432-6380 |
著作権に ついて |
技術研究報告に掲載された論文の著作権は電子情報通信学会に帰属します.(許諾番号:10GA0019/12GB0052/13GB0056/17GB0034/18GB0034) |
PDFダウンロード |
KBSE2011-58 |
研究会情報 |
研究会 |
KBSE |
開催期間 |
2012-01-23 - 2012-01-24 |
開催地(和) |
機械振興会館 |
開催地(英) |
Kikai-Shinko-Kaikan Bldg. |
テーマ(和) |
一般 |
テーマ(英) |
General session |
講演論文情報の詳細 |
申込み研究会 |
KBSE |
会議コード |
2012-01-KBSE |
本文の言語 |
日本語 |
タイトル(和) |
原因指向脆弱性モデルに基づくWebアプリケーションのセキュリティ要求分析支援 |
サブタイトル(和) |
|
タイトル(英) |
Cause-Oriented Vulnerability Analysis of Security Requirements for Web Applications |
サブタイトル(英) |
|
キーワード(1)(和/英) |
要求分析 / Requirements Analysis |
キーワード(2)(和/英) |
セキュリティ / Security |
キーワード(3)(和/英) |
アセット / Asset |
キーワード(4)(和/英) |
脆弱性 / Vulnerability |
キーワード(5)(和/英) |
対策 / Countermeasure |
キーワード(6)(和/英) |
ユースケースモデル / Use case model |
キーワード(7)(和/英) |
/ |
キーワード(8)(和/英) |
/ |
第1著者 氏名(和/英/ヨミ) |
西野 裕範 / Hironori Nishino / ニシノ ヒロノリ |
第1著者 所属(和/英) |
信州大学 (略称: 信州大)
Shinshu University (略称: SU) |
第2著者 氏名(和/英/ヨミ) |
阪井 隼也 / Junya Sakai / サカイ ジュンヤ |
第2著者 所属(和/英) |
信州大学 (略称: 信州大)
Shinshu University (略称: SU) |
第3著者 氏名(和/英/ヨミ) |
海谷 治彦 / Haruhiko Kaiya / カイヤ ハルヒコ |
第3著者 所属(和/英) |
信州大学 (略称: 信州大)
Shinshu University (略称: SU) |
第4著者 氏名(和/英/ヨミ) |
海尻 賢二 / Kenji Kaijiri / カイジリ ケンジ |
第4著者 所属(和/英) |
信州大学 (略称: 信州大)
Shinshu University (略称: SU) |
第5著者 氏名(和/英/ヨミ) |
/ / |
第5著者 所属(和/英) |
(略称: )
(略称: ) |
第6著者 氏名(和/英/ヨミ) |
/ / |
第6著者 所属(和/英) |
(略称: )
(略称: ) |
第7著者 氏名(和/英/ヨミ) |
/ / |
第7著者 所属(和/英) |
(略称: )
(略称: ) |
第8著者 氏名(和/英/ヨミ) |
/ / |
第8著者 所属(和/英) |
(略称: )
(略称: ) |
第9著者 氏名(和/英/ヨミ) |
/ / |
第9著者 所属(和/英) |
(略称: )
(略称: ) |
第10著者 氏名(和/英/ヨミ) |
/ / |
第10著者 所属(和/英) |
(略称: )
(略称: ) |
第11著者 氏名(和/英/ヨミ) |
/ / |
第11著者 所属(和/英) |
(略称: )
(略称: ) |
第12著者 氏名(和/英/ヨミ) |
/ / |
第12著者 所属(和/英) |
(略称: )
(略称: ) |
第13著者 氏名(和/英/ヨミ) |
/ / |
第13著者 所属(和/英) |
(略称: )
(略称: ) |
第14著者 氏名(和/英/ヨミ) |
/ / |
第14著者 所属(和/英) |
(略称: )
(略称: ) |
第15著者 氏名(和/英/ヨミ) |
/ / |
第15著者 所属(和/英) |
(略称: )
(略称: ) |
第16著者 氏名(和/英/ヨミ) |
/ / |
第16著者 所属(和/英) |
(略称: )
(略称: ) |
第17著者 氏名(和/英/ヨミ) |
/ / |
第17著者 所属(和/英) |
(略称: )
(略称: ) |
第18著者 氏名(和/英/ヨミ) |
/ / |
第18著者 所属(和/英) |
(略称: )
(略称: ) |
第19著者 氏名(和/英/ヨミ) |
/ / |
第19著者 所属(和/英) |
(略称: )
(略称: ) |
第20著者 氏名(和/英/ヨミ) |
/ / |
第20著者 所属(和/英) |
(略称: )
(略称: ) |
講演者 |
第1著者 |
発表日時 |
2012-01-23 15:00:00 |
発表時間 |
40分 |
申込先研究会 |
KBSE |
資料番号 |
KBSE2011-58 |
巻番号(vol) |
vol.111 |
号番号(no) |
no.396 |
ページ範囲 |
pp.31-36 |
ページ数 |
6 |
発行日 |
2012-01-16 (KBSE) |