5 0 0 0 乗り物の情報セキュリティと安全性:2.セーフティとセキュリティ
1 0 0 0 OA セキュリティソフトウェア工学の研究動向
- 著者
- 吉岡 信和 大久保 隆夫 宗藤 誠治
- 出版者
- 日本ソフトウェア科学会
- 雑誌
- コンピュータ ソフトウェア (ISSN:02896540)
- 巻号頁・発行日
- vol.28, no.3, pp.3_43-3_60, 2011-07-26 (Released:2011-09-26)
不特定多数が接続するインターネットが普及し,その上でのサービスが企業や個人にとって非常に重要な位置を占めるようになってきている.社会から見てサービスの利便性が向上している反面,悪意のある攻撃による社会への被害も増えてきており,サービスをセキュアに提供することが必須になってきている.しかし,セキュリティに関して考慮すべきことは多く,サービスをセキュアに提供することは容易ではない.本論文では,セキュリティの課題を整理し,その課題が,ソフトウェア技術によってどのように解決できるかを紹介する.そして,未解決な課題がどこにあるかを整理し,今後の研究の方向性を考察する.
1 0 0 0 セキュリティパターン研究の分類体系と文献調査
- 著者
- 鷲崎 弘宜 夏 天 鎌田 夏実 大久保 隆夫 小形 真平 海谷 治彦 加藤 岳久 鹿糠 秀行 田中 昂文 櫨山 淳雄 山本 暖 吉岡 信和 吉野 雅之
- 雑誌
- 研究報告ソフトウェア工学(SE) (ISSN:21888825)
- 巻号頁・発行日
- vol.2018-SE-198, no.25, pp.1-7, 2018-03-02
セキュリティパターンとは,セキュアなソフトウェアシステムの開発運用における特定の文脈上で繰り返されるセキュリティに関する問題と解決を一定の抽象度でまとめたものである.1990 年代後半からこれまでに 500 近くのセキュリティパターンの特定と蓄積,共有がなされている.それに伴い,それらの適用や抽出といった技術研究も進められているが,その傾向や全体像,技術的課題および展望は明らかではない.そこで我々は最初に,セキュリティパターン研究を分類整理する際の基本的な用語間の関係を整理した概念モデルを提案する.さらに我々は同モデルに基づいた研究の分類体系 (タクソノミ) を提案し,同分類体系に基づき 200 を超える文献の内容を分類した結果を報告する.
- 著者
- 木村 勇一 大久保 隆夫 後藤 厚宏
- 出版者
- FIT(電子情報通信学会・情報処理学会)運営委員会
- 雑誌
- 情報科学技術フォーラム講演論文集
- 巻号頁・発行日
- vol.13, no.1, pp.119-120, 2014-08-19
既存Webアプリケーション(WebAP)の入力処理の脆弱性を調査し,対策を考察した.2014年4月に広く認知されたStruts2,及びStruts1の脆弱性(Struts脆弱性)は,Javaの基本的な枠組みで発生する脆弱性である.課題はWebAPの内部構造のブラックボックス化とパラメタの正否を識別する仕組みの欠如である.対策としてホワイトリストのパラメタチェックフィルタがある.ホワイトリストは必要なパラメタのみ取り込み,その他のパラメタを除外するので,ブラックボックスとなるコンポーネント利用時の未知の脆弱性の防止に有効である.対策となるチェックルールの設定方法3案を提示する.
1 0 0 0 乗り物の情報セキュリティと安全性:1.情報セキュリティと乗り物
1 0 0 0 乗り物の情報セキュリティと安全性:0.編集にあたって
- 著者
- 大久保 隆夫
- 出版者
- 情報処理学会
- 雑誌
- 研究報告コンピュータセキュリティ(CSEC) (ISSN:09196072)
- 巻号頁・発行日
- vol.2010, no.55, pp.1-7, 2010-02-25
- 参考文献数
- 13
本稿では,ソフトウェアに対する攻撃シナリオをモデル化する手法として,Sindre の提案する mal-activity モデルを拡張し,Web に対する具体的な攻撃のシナリオを記述する手法を提案する.更に,これを攻撃パターン,対策パターン化して用いることで,特定の前提において攻撃の発生可能性を認識し,脅威評価に利用できる手法を提案する.また,例としてイントラネットの Web システムにおいて想定される攻撃を示す.In this paper, we propose a description method of security attack scenarios with extending Sindre's mal-activity model. We also presents the attack scenarios can be used as attack patterns and countermeasure design patterns with which analysts can assess threats against the certain assumptions by recognizing the possibility of security attacks. We show the possibilities of some attacks against the intranet Web systems.
- 著者
- 大久保 隆夫 田中 英彦
- 出版者
- 一般社団法人情報処理学会
- 雑誌
- 研究報告コンピュータセキュリティ(CSEC) (ISSN:09196072)
- 巻号頁・発行日
- vol.2009, no.20, pp.241-246, 2009-02-26
- 被引用文献数
- 4
セキュアなアプリケーション開発のためには,開発の最上流からセキュリティを考慮した開発が必要になるが,セキュリティ知識不足やセキュリティ分析,設計作業が重いことなどが原因で,適切に行われず,脆弱性を生む一因となっている.筆者らは,最小限のセキュリティ知識でも効率的なセキュアな開発を可能にする手法として,アスペクト指向の概念に基づいた開発手法を研究している.本稿では,要求分析および設計段階において,ミスユースケースを拡張した記法を用いてセキュリティ要求が,設計時にセキュリティを挿入する箇所をパターン化したセキュリティ設計がそれぞれパターン化可能であり,それらによってセキュリティ作業の省力化,再利用が実現できることを示す.Security consideration in early development stages is important for secure application software development. However, lack of security knowledge and heavy security tasks make it difficult that is one of the reasons of software vulnerabilities. In this paper, we propose two kinds of security pattern: secuirty requirement patterns and security design patterns. We present that these pattern make security design laborsaving and reusable.