著者

鷲崎 弘宜 夏 天 鎌田 夏実 大久保 隆夫 小形 真平 海谷 治彦 加藤 岳久 鹿糠 秀行 田中 昂文 櫨山 淳雄 山本 暖 吉岡 信和 吉野 雅之

雑誌

研究報告ソフトウェア工学(SE) (ISSN:21888825)

巻号頁・発行日

vol.2018-SE-198, no.25, pp.1-7, 2018-03-02

---

セキュリティパターンとは,セキュアなソフトウェアシステムの開発運用における特定の文脈上で繰り返されるセキュリティに関する問題と解決を一定の抽象度でまとめたものである.1990 年代後半からこれまでに 500 近くのセキュリティパターンの特定と蓄積,共有がなされている.それに伴い,それらの適用や抽出といった技術研究も進められているが,その傾向や全体像,技術的課題および展望は明らかではない.そこで我々は最初に,セキュリティパターン研究を分類整理する際の基本的な用語間の関係を整理した概念モデルを提案する.さらに我々は同モデルに基づいた研究の分類体系 (タクソノミ) を提案し,同分類体系に基づき 200 を超える文献の内容を分類した結果を報告する.

著者

新原敦介 河野 仁一 海谷 治彦 佐伯 元司

雑誌

情報処理学会研究報告ソフトウェア工学(SE)

巻号頁・発行日

vol.2004, no.30(2003-SE-144), pp.99-106, 2004-03-18

---

本稿では,要求獲得の段階でステークホルダのギャップを識別する手法を提案し,実験を通してその手法の有効性について確認した.本手法では要求分析手法として,我々が提案した属性付きゴール指向要求分析法AGORA(Attributed Goal Oriented Analysis)を用い,その支援ツールを用いる.そして我々は,ステークホルダのギャップとして,解釈の違いによって起こるものと評価の違いによって起こるものの二つに着目し,これらをAGORAの満足度行列から識別する.これは,満足度行列に,ゴールの誤解や利益供与の違いが特徴的に表れるからである.実験結果の分析を通して,我々は他の種類のギャップを検出した.そしてどのようにこれらのギャップを検出して,解決するべきか論じた.

著者

坂下 卓弥 小形 真平 海谷 治彦 海尻 賢二

出版者

一般社団法人電子情報通信学会

雑誌

電子情報通信学会技術研究報告. KBSE, 知能ソフトウェア工学 (ISSN:09135685)

巻号頁・発行日

vol.113, no.475, pp.85-90, 2014-02-27

---

我々はこれまで,Androidアプリケーションによる利用者情報の流出をユーザが理解しやすいように,外部送信される利用者情報を可視化する静的解析法を提案してきた.しかし,Androidのパーミッションのみに着目した静的解析では,粗粒度の利用者情報(例:連絡先データ)は識別できたが,細粒度の利用者情報(例:連絡先データ中の電話番号や住所)は識別できなかった.そのため,ユーザが利用者情報の過剰な取得に気づかない問題があった.そこで,本論文では,細粒度の利用者情報の解析できるように従来の我々の解析法を拡張する.既存のマルウェアを解析した結果,提案手法が有用であるとの見込みを得た.

著者

坂下 卓弥 小形 真平 海谷 治彦 海尻 賢二

出版者

一般社団法人情報処理学会

雑誌

情報処理学会論文誌 (ISSN:18827764)

巻号頁・発行日

vol.56, no.1, pp.391-400, 2015-01-15

---

Androidには利用者情報漏えい等を防ぐためのパーミッションシステムがある.このシステムは,アプリケーションが「連絡先データの読み取り」や「完全なインターネットアクセス」等のパーミッションを利用することの許可をインストール時にユーザに求める.しかし,マルウェアによる利用者情報漏えいが生じていることから,当該システムは十分に機能していない.我々はこの主原因を当該システムがパーミッションの利用目的をユーザに通知しない点にあると仮定した.利用目的とは,アプリケーションが「端末の電話番号」や「電話帳のメールアドレス」等の情報をどこのURL等に送信しているかを指す.そこで,本研究ではユーザがパーミッションの利用目的を理解しやすいように,アプリケーションを静的解析し,利用目的を可視化する方法を提案する.本論文では,提案手法はパーミッションシステムよりも既存のマルウェアを判別容易にするかを評価する.Android has a permission system to prevent identity theft and so on. The system makes an android user grant the permissions such as "Full internet access" and/or "Read your contacts" to an application. However,this system is not enough to prevent identity theft because a lot of the identity theft has occurred. We assumed that the main problem of the theft is caused by the system which does not notify the user the purpose of the application. Here, the purpose implies that the sensitive data such as "Phone number," "e-mail address," etc. are sent to a URL. We therefore propose a static analysis method for highlighting what the application does with permission so that the user can understand the purpose of the application. In this paper, we evaluate our method whether it can provide us more sufficient information for determining malware correctly than the existing permission system.

著者

小形 真平 早川 弘基 海谷 治彦 海尻 賢二

出版者

日本ソフトウェア科学会

雑誌

コンピュータ ソフトウェア (ISSN:02896540)

巻号頁・発行日

vol.32, no.1, pp.1_147-1_160, 2015-01-26 (Released:2015-02-11)

---

e-commerceサイト等のWebシステムにおいて,ユーザは一般にミスや心変わりから値を頻繁に再入力するため,目的を達成するまで入力値を一時保存する入力保存機能は役立つ.しかし,本機能は上流工程で決定される入力値の作成/更新タイミング等に依存するが,本機能の分析・設計を支援する方法はない.本論文は,入力保存機能を含めた画面遷移モデルを表せるようにUML記法を拡張し,画面遷移とシナリオを表す方法とユーザの入力する値の量を見積るユーザビリティ評価方法を提案する.そして,提案方法の有効性を示すため,手動ではユーザの入力負担を定量的に算出し,どの程度改善できそうかを示すことが困難であることと,提案方法で見積った値の高さとユーザが感じる負担の大きさは順序的に関係があることを実験にて実証し,提案方法による開発者の負担が従来方法(手動プロトタイピング)と比べて低いことを実験結果に基づいた考察により示した.

著者

海谷 治彦 原 賢一郎 小林 亮太郎 長田 晃 海尻 賢二

出版者

情報処理学会

雑誌

情報処理学会論文誌 (ISSN:18827764)

巻号頁・発行日

vol.53, no.2, pp.653-661, 2012-02-15

---

ソフトウェアを含め,ほとんどの工業製品は以前の製品を改訂し開発されている.よって,既存ソフトウェアの改訂を支援することも重要である.革新的なソフトウェア改訂技法や枠組みが提案はされているが,それらを現実の開発に導入することは現状の開発体制の観点から容易でない場合が多い.特にソフトウェアが中心でない製品の場合,その傾向は顕著である.本稿では,ソフトウェアが中心でない製品におけるソフトウェア改訂において,どのように技術導入をすべきかについての調査および試行結果を報告する.初めに我々はソフトウェアが中心でない製品を開発する産業界の協力者の支援をうけ,どのような作業をどのような技術で支援すべきかを調査した.結果,インパクト分析作業が技術的に支援可能であり,情報検索技術(IR)を用いたトレーサビリティ技術で支援することが適切であると判断した.次に協力者から提供があった実開発のデータに対して,当該技術を適用し,協力者とともに問題点や改善点を模索した.結果として,要求変更の特徴づけを支援するための技術文書の索引付け,IRの入力データの改善を支援する機械学習,間接的なインパクトを知るためのソースコード上の静的解析の3つが,IRに基づくトレーサビリティを改善する追加技術として適切であると判断した.我々はこれら3つの技術を追加したインパクト分析支援ツールを試作し,産業界の協力者に評価を依頼し,期待どおりの改善が見込まれることを確認した.Most industrial products are developed based on their former products including software. Revising existing software according to new requirements is thus an important issue. However, innovative techniques for software revision cannot be easily introduced to projects where software is not a central part. In this paper, we report how to explore and apply software engineering techniques to such non-ideal projects to encourage technology transfer to industry. We first show our experiences with industrial partners to explore which tasks could be supported in such projects and which techniques could be applied to such tasks. As a result, we found change impact analysis could be technically supported, and traceability techniques using information retrieval seemed to be suitable for it. We second had preliminary experiences of a method using such techniques with data in industry and evaluated them with our industrial partners. Based on the evaluation, we third improved such a method by using following techniques; indexing of technical documents for characterizing requirements changes, machine learning on source codes for validating predicted traceability and static source code analysis for finding indirect impacts. Our industrial partners finally evaluated the improved method, and they confirmed the improved method worked better than ever.

著者

海谷 治彦

出版者

信州大学

雑誌

基盤研究(C)

巻号頁・発行日

2011

---

情報システムの要求定義段階において,システムアーキテクチャに基づき,発生しうる脆弱性と,その対策群を予測するモデリング手法とツールを開発した.システム内の重要資産(アセット)の依存関係に基づきモデルは構築され,脆弱性と対策は,その依存関係グラフの構造的な特徴に基づき系統的に予測できる.ツールは独自のモデル検査エンジンによる予測の自動化と,予測結果の可視化を行う.これによって,セキュリティ分析者を含むシステム開発関係者が,予測結果の妥当性を吟味することが可能となった.

著者

海谷 治彦 佐伯 元司 青山 幹雄

出版者

一般社団法人情報処理学会

雑誌

情報処理学会研究報告ソフトウェア工学(SE) (ISSN:09196072)

巻号頁・発行日

vol.2003, no.22, pp.145-152, 2003-03-06

参考文献数

14

---

RE (IEEE International Requirements Engineering Conference)は,要求工学の分野でもっとも大規模な国際会議である.そのREが,2002年9月9日から13日の5日間,ドイツのエッセンで行われ,筆者らも参加した.本稿では,RE'02の内容と参加した感想について報告する.RE, IEEE International Requirements Engineering Conference, is one of the biggest conference of requirements engineering. RE'02 was held in Essen in Germany last year and we attendet it. In this article, we report the details of RE and my impression.

著者

海谷 治彦

出版者

一般社団法人電子情報通信学会

雑誌

電子情報通信学会技術研究報告. KBSE, 知能ソフトウェア工学

巻号頁・発行日

vol.100, no.541, pp.83-88, 2001-01-05

参考文献数

7

---

2000年9月12日から14日まで, チェコのブルノで開催されたFourth joint Conference on Knowledge-Based Software Engineering(JCKBSE2000)の概要について報告する.