| 講演名 | 2016-11-25 脅威モデリング連携型ファジングテスト手法の提案 西尾 泰彦(CCDS), 城間 政司(CCDS), 井上 博之(CCDS/広島市大), |
|---|---|
| PDFダウンロードページ |  PDFダウンロードページへ |
| 抄録(和) | 本研究の目的は,IoTシステムのセキュリティを確保できるファジングテスト手法を確立することである.セキュリティの確保のためには,システムの脅威を洗い出し,それにそったテストを進めていくことが重要となる.そこでシステムの脅威を視覚的に洗い出す脅威モデリングと既存のファジングテストを連携させた,脅威モデル連携型ファジング手法を提案する.これにより,テスト技術者はファジングテストで検証する脆弱性を脅威モデルという形で視覚的にとらえ,研究者は脅威モデリング結果をテストデータに変換できるメリットが得られる.具体的には,脅威モデルをXMLファイルに変換可能なツールで描画し,変換したXMLファイルを既存ファジングツールで使えるデータにする手順の整備を行う.これにより,脅威モデルの知見をファズデータに変換することや,現場で考え付いたファズデータを脅威モデルの形で構造設計ドキュメントのように視覚化するという,現場作業者に役立つ利点を得ることが可能となる.最終的に提案した本手法を実際のカーナビや脆弱なWebシステムに適用し,その結果についても考察する. |
| 抄録(英) | The purpose of this study is to develop a fuzz testing method that can ensure the IoT security especially automotive system security. To ensure the system security, it is important to expose the system threats and to test along with them. We propose a fuzz testing method cooperated with threat modeling. Our study have two merits. First, engineer can learn the knowledge of threat modeling smoothly. Second, researcher can exchange their threat model to test data, especially, fuzzing data. We can derive the merits to develop a procedure that exchange the threat model to fuzz data via a threat meta-model made by XML format. Finally, we applied our method to real device and system, car navigation system and vulnerable Web system as two case study. |
| キーワード(和) | 脅威モデリング / ファジング / メタモデル / XML / 車載システム / リバースエンジニアリング |
| キーワード(英) | Threat Modeling / Fuzzing / Meta model / XML / Automotive system / Reverse engineering |
| 資料番号 | ICSS2016-41 |
| 発行日 | 2016-11-18 (ICSS) |
| 研究会情報 | |
| 研究会 | ICSS |
|---|---|
| 開催期間 | 2016/11/25(から1日開催) |
| 開催地(和) | 情報セキュリティ大学院大学 |
| 開催地(英) | Institute of Information Security |
| テーマ(和) | 情報通信システムセキュリティ,一般 |
| テーマ(英) | Information and Communication System Security, etc. |
| 委員長氏名(和) | 三宅 優(KDDI研) |
| 委員長氏名(英) | Yutaka Miyake(KDDI R&D Labs.) |
| 副委員長氏名(和) | 白石 善明(神戸大) / 植田 武(三菱電機) |
| 副委員長氏名(英) | Yoshiaki Shiraishi(Kobe Univ.) / Takeshi Ueda(Mitsubishi Electric) |
| 幹事氏名(和) | 高倉 弘喜(NII) / 吉岡 克成(横浜国大) |
| 幹事氏名(英) | Hiroki Takakura(NII) / Katsunari Yoshioka(Yokohama National Univ.) |
| 幹事補佐氏名(和) | 神谷 和憲(NTT) / 笠間 貴弘(NICT) |
| 幹事補佐氏名(英) | Kazunori Kamiya(NTT) / Takahiro Kasama(NICT) |
| 講演論文情報詳細 | |
| 申込み研究会 | Technical Committee on Information and Communication System Security |
|---|---|
| 本文の言語 | JPN |
| タイトル(和) | 脅威モデリング連携型ファジングテスト手法の提案 |
| サブタイトル(和) | |
| タイトル(英) | A fuzz testing method cooperated with threat modeling |
| サブタイトル(和) | |
| キーワード(1)(和/英) | 脅威モデリング / Threat Modeling |
| キーワード(2)(和/英) | ファジング / Fuzzing |
| キーワード(3)(和/英) | メタモデル / Meta model |
| キーワード(4)(和/英) | XML / XML |
| キーワード(5)(和/英) | 車載システム / Automotive system |
| キーワード(6)(和/英) | リバースエンジニアリング / Reverse engineering |
| 第 1 著者 氏名(和/英) | 西尾 泰彦 / Yasuhiko Nishio |
| 第 1 著者 所属(和/英) | 重要生活機器連携セキュリティ協議会(略称:CCDS) Connected Consumer Device Security Council(略称:CCDS) |
| 第 2 著者 氏名(和/英) | 城間 政司 / Tadashi Shiroma |
| 第 2 著者 所属(和/英) | 重要生活機器連携セキュリティ協議会(略称:CCDS) Connected Consumer Device Security Council(略称:CCDS) |
| 第 3 著者 氏名(和/英) | 井上 博之 / Hiroyuki Inoue |
| 第 3 著者 所属(和/英) | 重要生活機器連携セキュリティ協議会/広島市立大学(略称:CCDS/広島市大) Connected Consumer Device Security Council/Hiroshima City University(略称:CCDS/HCU) |
| 発表年月日 | 2016-11-25 |
| 資料番号 | ICSS2016-41 |
| 巻番号(vol) | vol.116 |
| 号番号(no) | ICSS-328 |
| ページ範囲 | pp.15-20(ICSS), |
| ページ数 | 6 |
| 発行日 | 2016-11-18 (ICSS) |