著者
木村 勇一 大久保 隆夫 後藤 厚宏
出版者
FIT(電子情報通信学会・情報処理学会)運営委員会
雑誌
情報科学技術フォーラム講演論文集
巻号頁・発行日
vol.13, no.1, pp.119-120, 2014-08-19

既存Webアプリケーション(WebAP)の入力処理の脆弱性を調査し,対策を考察した.2014年4月に広く認知されたStruts2,及びStruts1の脆弱性(Struts脆弱性)は,Javaの基本的な枠組みで発生する脆弱性である.課題はWebAPの内部構造のブラックボックス化とパラメタの正否を識別する仕組みの欠如である.対策としてホワイトリストのパラメタチェックフィルタがある.ホワイトリストは必要なパラメタのみ取り込み,その他のパラメタを除外するので,ブラックボックスとなるコンポーネント利用時の未知の脆弱性の防止に有効である.対策となるチェックルールの設定方法3案を提示する.
著者
大久保 隆夫
雑誌
情報処理
巻号頁・発行日
vol.57, no.7, pp.628-629, 2016-06-15

近年,自動車や航空機,ドローンなど,乗り物に対するハッキングの事例が相次いて公開され,話題となっている.従来から安全性等を考慮して設計されていたはずの乗り物で,このようなハッキングが容易にできてしまうのはなぜなのか,また乗り物と情報セキュリティを守るということはどのような意味を持つのかについて解説する.
著者
大久保 隆夫
雑誌
情報処理
巻号頁・発行日
vol.57, no.7, pp.627-627, 2016-06-15
著者
大久保 隆志
出版者
広島大学
雑誌
基盤研究(C)
巻号頁・発行日
2011

これまでの捜査の行き詰まりを打破し,新たな展望を見出すためには,従来の捜査手法を超えた新たな捜査を検討すべきであると言われている。しかし,これを我が国の刑訴法と整合的に接合するためには,新たな捜査と従来の捜査の適法性の共通基盤を見出す必要があるところ,その基盤は,結局のところ,従来から議論のあった「自己決定」と「利益衡量」の在り方に収斂されるように思われる。そうすると,新たな捜査は,自由な「自己決定」を害することなく,適正な「利益衡量」に支えられた捜査であることが前提となる。その意味において,「自己決定」と「利益衡量」とが,捜査を支える「指導理念」の中核的概念であると考えられる。
著者
大久保 隆夫
出版者
情報処理学会
雑誌
研究報告コンピュータセキュリティ(CSEC) (ISSN:09196072)
巻号頁・発行日
vol.2010, no.55, pp.1-7, 2010-02-25
参考文献数
13

本稿では,ソフトウェアに対する攻撃シナリオをモデル化する手法として,Sindre の提案する mal-activity モデルを拡張し,Web に対する具体的な攻撃のシナリオを記述する手法を提案する.更に,これを攻撃パターン,対策パターン化して用いることで,特定の前提において攻撃の発生可能性を認識し,脅威評価に利用できる手法を提案する.また,例としてイントラネットの Web システムにおいて想定される攻撃を示す.In this paper, we propose a description method of security attack scenarios with extending Sindre's mal-activity model. We also presents the attack scenarios can be used as attack patterns and countermeasure design patterns with which analysts can assess threats against the certain assumptions by recognizing the possibility of security attacks. We show the possibilities of some attacks against the intranet Web systems.
著者
大久保 隆夫 田中 英彦
出版者
一般社団法人情報処理学会
雑誌
研究報告コンピュータセキュリティ(CSEC) (ISSN:09196072)
巻号頁・発行日
vol.2009, no.20, pp.241-246, 2009-02-26
被引用文献数
4

セキュアなアプリケーション開発のためには,開発の最上流からセキュリティを考慮した開発が必要になるが,セキュリティ知識不足やセキュリティ分析,設計作業が重いことなどが原因で,適切に行われず,脆弱性を生む一因となっている.筆者らは,最小限のセキュリティ知識でも効率的なセキュアな開発を可能にする手法として,アスペクト指向の概念に基づいた開発手法を研究している.本稿では,要求分析および設計段階において,ミスユースケースを拡張した記法を用いてセキュリティ要求が,設計時にセキュリティを挿入する箇所をパターン化したセキュリティ設計がそれぞれパターン化可能であり,それらによってセキュリティ作業の省力化,再利用が実現できることを示す.Security consideration in early development stages is important for secure application software development. However, lack of security knowledge and heavy security tasks make it difficult that is one of the reasons of software vulnerabilities. In this paper, we propose two kinds of security pattern: secuirty requirement patterns and security design patterns. We present that these pattern make security design laborsaving and reusable.