関連リスク分析によるセキュリティ ホールの予測と回避について 信州大学工学系研究科 情報工学専攻 海尻・海谷研究室 04TA553G 杉浦 司 企業における情報セキュリティの現状 • 前提条件となる人的、組織的対策の軽視によ る固有リスクの放置 – パスワードの未更新、ICカードの貸与、ウイルスチェックソ フトの停止等 • 不十分な評価によるリスク残存及び派生 – 不正アクセスの見逃し、暗号鍵への不正アクセス等 • 対策乱立による副作用(対立リスク)の発生 – 対策ツール間の競合による障害発生等 1 情報セキュリティ設計における留意点 • • • • 前提条件軽視による固有リスクの放置 機能要件適用後の残存リスクの過小評価 機能要件に起因する派生リスクへの無関心 対立リスクを生じる機能要件の同時採用 2 情報セキュリティ設計における留意点 固有リスク 前提条件 残存リスク 固有リスク 前提条件 固有リスク 残存リスク 派生リスク 機能要件 対立リスク 派生リスク 機能要件 機能要件 対立リスク 3 前提条件軽視による固有リスクの発生 -ログイン認証とパスワード保護- • ログインによるユーザ認証ではパスワードに 対するアクセス管理が前提条件となる • 前提条件が守られなければ、前提条件が想 定していた本来的な部外者による不正アクセ スという固有リスクが発生することになる • セキュリティ監査でよく見かける不適合例 – – – – 推測容易なパスワード設定やパスワードの長期未更新 パスワードメモの端末貼付、パスワードのファイル保存 個人パスワ-ドのグループ共有 電子証明書に対する有効性チェック漏れ 4 機能要件適用後の残存リスクの過小評価 -正当ユーザによる不正アクセス- • フィルタリングやログイン認証では正当ユーザ による不正アクセスという残存リスクが残る • 正当ユーザによる不正アクセスはログ監視に よって発見できる • セキュリティ監査でよく見かける不適合例 – アクセスログの未収集、未監視 – ユーザに対する過剰な権限の付与 5 機能要件に起因する派生リスクの放置 -バックアップ媒体に対する不正アクセス- • バックアップによる障害対策によって、バック アップ媒体に対する不正アクセスリスクが新た に派生する • セキュリティ監査でよく見かける不適合例 – 障害対策のためのバックアップで漏えい、盗難などの不正 アクセスリスクが発生している – 不正アクセス対策のための暗号化(通信、データ)で鍵の 紛失、破壊などの障害リスクが発生している – リモートメンテナンスよる障害監視サービス下での不正ア クセスが監視されていない 6 対立リスクを生じる機能要件の同時採 用 -暗号通信と不正検知- • 暗号通信(sshやS/MIME)による情報漏えい対 策が、不正侵入検知と対立する • 暗号通信が検知不能のバックドアを生み出す • セキュリティ監査でよく見かける不適合例 – 暗号メールに対するウイルスチェック漏れ – sshを利用したVPN(SoftEther等)に対する監視漏れ – ファイヤーウォール、不正検知ツール間の競合 7 関連リスクを考慮した機能要件設計 • 抽出した機能要件について、関連リスク(①固 有リスク、②残存リスク、③派生リスク、④対 立リスク)を洗い出す • 関連リスクを解消するための機能要件を再検 討する • 新たに設定した機能要件について、関連リス クが十分に小さくなるまで繰り返す 8 ユースケースによる関連リスク分析の検討 - Security Cases の利用可能性- • Security Casesを利用して機能要件ごとの関連 リスクを体系的に記述することができる • ユーザだけでなくミスユーザの相互作用を定 義することによって、ぜい弱性と脅威の両面か ら関連リスクを分析することができる 9 ユースケースによる関連リスク分析の検討 - Security Cases の利用可能性- Use Case Path 関連リスクのUse Case Path 脅威 事前条件 事後条件 ユーザの相互作用 ミスユーザの相互作用 システム要求 相互作用 アクション 10 ユースケースによる関連リスク分析の検討 - Misuse Cases の利用可能性- • Misuse Casesを使って関連リスクを洗い出すこ とができる – あるMisuse Caseがユースケースに脅威を与えることを threaten という関連で仕様化できる – あるユースケースがMisuse Caseの脅威軽減となることを mitigateという関連で仕様化できる • Threaten が十分に小さくなるまでMitigate分析 を繰り返すことによって、関連リスクを最小化 する設計が可能となるはず 11 関連リスクのSecurity Cases設計例 -固有リスクの場合- Use Case Path 不正ログインの拒否 関連リスクのUse Case Path パスワードの保護 脅威 部外者による不正アクセス 事前条件 パスワードを正当ユーザに配布する 事後条件 正当ユーザがパスワードを保護していることを確認する システム要求 ユーザの相互作用 ミスユーザの相互作用 安易なパスワード を設定する パスワードを推測する 長期間パスワード を更新しない パスワードを推測する パスワードの未更新状況を管 理者に通知する パスワードを書い たメモを貼付する パスワードをのぞき見 する ユーザに対してパスワード露 出の禁止を通知する ID、パスワ-ドをグ ループで共有する 移動者や退職者など権 限のないIDを使用する グループ管理者に対して移動 や退職が生じた場合にパスワ ードを変更するよう通知する 相互作用 アクション パスワード登録を拒否する パスワードの定期的変更を要 求する パスワードの定期的変更を要 求する 12 関連リスクのSecurity Cases設計例 -残存リスクの場合- Use Case Path 不正アクセスのフィルタリング 関連リスクのUse Case Path 不正アクセスの監視 脅威 正当ユーザによる不正アクセス 事前条件 アクセス情報をログファイルに記録する 事後条件 ログファイルに不正アクセスが記録されていないか確認する ユーザの相互作用 ミスユーザの相互作用 フィルタリングの設 定を放置する システム要求 相互作用 アクション 不正アクセスが発見さ れない フィルタリング設定が長期間更 新されていないことを管理者に 通知する フィルタリング設定の定期的更 新を促す アクセス情報をロ グファイルに記録し ない 不正アクセスが発見さ れない ログファイルが作成されていな いフィルタリング設定を管理者 に通知する フィルタリング設定でログファイ ルの作成を必須にする ログファイルの内 容を点検しない 不正アクセスが発見さ れない ログファイルが長期間オープン されていないことを管理者に通 知する フィルタリング設定の確認時に ログファイルの閲覧を促す ログファイルの内 容を評価できない 不正アクセスが発見さ れない ログファイルの意味を理解しや すいように内容表示する 13 関連リスクのSecurity Cases設計例 -派生リスクの場合- Use Case Path バックアップによる障害対策 関連リスクのUse Case Path バックアップファイルに対する不正アクセスの防止 脅威 バックアップファイルへの不正アクセス 事前条件 バックアップファイルに対するアクセス制御を設定する バックアップファイルへのアクセス情報をログファイルに記録する 事後条件 ログファイルに不正アクセスが記録されていないか確認する ユーザの相互作用 ミスユーザの相互作用 アクセス制御を設 定しない システム要求 相互作用 アクション バックアップに不正アク セスする アクセス制御が設定されていな いファイルを管理者に通知する ファイルの生成時にアクセス 制御の設定を促す アクセス情報をロ グファイルに記録し ない 不正アクセスが発見さ れない ログファイルが作成されていない フィルタリング設定を管理者に通 知する フィルタリング設定でログファ イルの作成を必須にする ログファイルの内 容を点検しない 不正アクセスが発見さ れない ログファイルが長期間オープンさ れていないことを管理者に通知 する フィルタリング設定の確認時 にログファイルの閲覧を促す ログファイルの内 容を評価できない 不正アクセスが発見さ れない ログファイルの意味を理解し やすいように内容表示する 14 関連リスクのSecurity Cases設計例 -対立リスクの場合- Use Case Path 暗号化による電子メール(添付ファイル)の秘密保持 関連リスクのUse Case Path 暗号化ファイルに対するウイルススキャン 脅威 ウイルス感染の未発見(暗号化によるウイルススキャン漏れ) 事前条件 添付ファイルの暗号化前にウイルススキャンする 事後条件 添付ファイルの復号化後にウイルススキャンする システム要求 ユーザの相互作用 ミスユーザの相互作用 ウイルススキャン せずに添付ファイ ルを暗号化する 感染ユーザに電子メー ルでウイルスを他のユ ーザに送る 暗号化前にウイルススキャンを 促す 復号化した添付フ ァイルをウイルスス キャンせずに開く ユーザにウイルス感染 させる 復号化後にウイルススキャンを 促す 相互作用 アクション 15 関連リスクのMisuse Cases設計例 -固有リスクの場合- 何らかのトランザ クションを遂行 正当利用者に成り すます <<threaten>> <<include>> <<include>> <<mitigate>> パスワードを推測 する 利用者 アタッカー <<include>> <<threaten>> パスワード認証を 行う 安易なパスワードを 設定する <<リスクを生む>> <<threaten>> <<include>> パスワードをのぞ き見する <<include>> 長期間パスワードを 更新しない <<mitigate>> <<include>> パスワードの誤っ た管理 <<threaten>> <<mitigate>> <<include>> <<mitigate>> パスワードを書いた メモを貼付する <<include>> <<mitigate>> 権限のないIDを使 用する <<threaten>> 不用心な利用者 ID、パスワ-ドをグ ループで共有する <<mitigate>> <<mitigate>> パスワードの適切な管理 <<include>> 不適切なパスワード 登録を拒否する <<include>> <<include>> パスワードの定期的 変更を要求する <<mitigate>> <<include>> <<include>> パスワードの未更新状況 を管理者に通知する ユーザに対してパスワード 露出の禁止を通知する グループ管理者に対して移動や 退職が生じた場合にパスワードを 変更するよう通知する 16 関連リスクのMisuse Cases設計例 -残存リスクの場合- ネットワークに接 続する <<include>> 利用者 不正アクセスしよう とする <<threaten>> <<mitigate>> フィルタリングの設 定を放置する <<リスクを生む>> フィルタリングを行う <<include>> <<リスクを生む>> <<threaten>> <<mitigate>> アクセス情報をログファ イルに記録しない <<mitigate>> <<include>> <<threaten>> ログの誤った管理 <<include>> ログファイルの内容 を点検しない <<mitigate>> <<include>> <<mitigate>> 不正アクセスに気 づかれない <<threaten>> アタッカー <<threaten>> フィルタリング設定の定期 的更新を促す 怠慢な管理者 フィルタリング設定が長期 間更新されていないことを 管理者に通知する フィルタリング設定で ログファイルの作成を 必須にする ログファイルが作成されて いないフィルタリング設定を 管理者に通知する <<include>> <<include>> ログファイルの内容 を評価できない <<mitigate>> <<mitigate>> <<mitigate>> フィルタリング設定の 確認時にログファイル の閲覧を促す ログファイルが長期間オー プンされていないことを管理 <<include>> 者に通知する ログファイルの意味を 理解しやすいように内 容表示する <<mitigate>> <<include>> <<include>> <<include>> <<include>> ログ監視を行う 17 関連リスクのMisuse Cases設計例 -派生リスクの場合- データを保存する <<threaten>> <<include>> 媒体が故障する <<mitigate>> 障害 オペレータ バックアップをとる アクセス制限をかける (派生リスクへの対策) <<mitigate>> <<リスクを生む>> 媒体を盗む <<リスクを生む>> <<threaten>> アクセス制御を適 用しない ソーシャルエンジニアリング アクセス情報をログファ イルに記録しない 怠慢な管理者 <<include>> <<mitigate>> ログの誤った管理 <<threaten>> <<mitigate>> <<include>> ログファイルの内容 を点検しない <<threaten>> <<include>> アクセス制御が設定さ れていないファイルを 管理者に通知する ファイルの生成時に アクセス制御の設定 <<include>> を促す <<include>> アクセス制限をかける <<mitigate>> <<mitigate>> <<mitigate>> ログファイルの内容 を評価できない <<threaten>> <<threaten>> 不正アクセスに成 功する <<mitigate>> ログファイルが長期間オ ープンされていないこと <<mitigate>> を管理者に通知する ログファイルが作成されて フィルタリング設定の いないフィルタリング設定を 確認時にログファイル 管理者に通知する の閲覧を促す フィルタリング設定でロ ログファイルの意味を グファイルの作成を必 理解しやすいように内 <<mitigate>> 須にする 容表示する <<include>> <<include>> アタッカー <<include>> <<include>> <<include>> ログ監視を行う (派生リスクへの対策) 18 関連リスクのMisuse Cases設計例 -対立リスクの場合- 電子メールで添付フ ァイルを送受信する <<include>> 利用者 添付ファイルの内容 を傍受する <<threaten>> <<mitigate>> <<include>> アタッカー ウイルスを伝染 させる 暗号技術を利用する <<include>> 添付ファイルを 復号化する 添付ファイルを 暗号化する ウイルスに感染 させる <<threaten>> <<mitigate>> <<リスクを生む>> <<リスクを生む>> <<threaten>> 暗号化前にウイルス チェックを行わない 福号化前にウイルス チェックを行わない ITに弱い利用者 <<include>> 暗号化前にウイルスス キャンを促す <<mitigate>> 競合を避ける <<include>> 復号化後にウイルスス キャンを促す 19 IPA-CC認証製品による検証 -PKI サーバ/Carassuit- TOE 名称 (TOE のバージョン) : PKI サーバ/Carassuit 電子政府版 Ver3.1(日本電気株式会社) TOE 種別 : IT 製品 ( PKI ) 適合する保証要件 : ASE(ST 評価 ) クラス及び ADV_FSP.1 、 ADV_RCR.1 保証コンポーネント (TOE の保証パッケージは EAL3 適合) TOE 機能概要 本製品は、 PKI( 公開鍵基盤 ) 用の CA( 認証局 )/RA( 登録局 ) を構成するためのソフトウェアで ある。製品は、 CA サーバ用、 CA クライアント用、 RA 操作用の 3 種類のソフトウェアからなり、 各々が異なった PC( パーソナルコンピュータ ) に搭載され、全体として CA/RA の機能を提供する。 CA としての主な機能は、一般利用者の公開鍵に対する公開鍵証明書発行、機関証明書発行、 CA 自身の公開鍵証明書発行、公開鍵証明書保管、及び失効リスト発行である。RA としての主な 機能は、証明書申請要求の受付、及び証明書発行・失効に伴う資格審査である。 20 IPA-CC認証製品による検証 -システム構成- 21 IPA-CC認証製品による検証 -動作環境の前提条件- 固有リスク ■A.PASSWORD_MANAGEMENT(操作員によるパスワードの管理) パスワードは、他人に知られないように本人によって管理される。パスワードは推測・解析されにくいもの が設定され、適正な間隔で変更される。 ■ A.PIN_ICC_MANAGEMENT(一般操作員によるPIN・ICカードの管理) 派生リスク ICカードは不正利用されないよう管理され、ICカード内のデータを使用するためのPINは他人に漏洩しな いように本人によって管理される。PINは推測・解析されにくいものが設定され、適正な間隔で変更される。 ■ A.USER_RESTRICTION(利用者制限) 残存リスク TOEに関連する権限・役割を持つ利用者は、管理者のみとなるように利用者登録を行う。 ■ A.SAFE_PLACE(安全な場所) 固有リスク TOEに関連するハードウェアは、許可された人員のみが入室できるよう制御された場所に設置される。 ■ A.BACKUP_MEDIA(バックアップ媒体) 派生リスク TOEのバックアップデータが保存されたリムーバブル媒体は、物理的に不正侵入できないように制御され た場所に保管され、不正に持ち出せないように管理される。 ■ A.NETWORK(ネットワーク環境) 固有リスク TOEの内部ネットワークはそれ以外のネットワークに直接接続されない。 ■ A.HSM(HSM) 固有リスク HSMで生成・管理される認証局秘密鍵は物理的に保護される。 ■ A.HARDWARE(ハードウェア) 固有リスク TOEに関連するハードウェアは、正確に動作する。 ■ A.PERIPHERAL_INTERFACE(周辺装置) 派生リスク TOEに接続する周辺機器はTOEの付近に設置される。 TOEと周辺機器は、その間で盗聴されることがないように直接接続される。 22 IPA-CC認証製品による検証 - 検証対象となる関連リスクの抽出 - • 固有リスク – CA、RAサーバの内部ネットワーク接続 ※外部セグメントからの部外者からの不正アクセスを拒否する必要あり • 固有リスク – サーバメンテナンス用パスワード認証 ※正当権限者の不正アクセスを操作履歴によって監視する必要あり • 残存リスク – サーバメンテナンス正当権限者による不正アクセス ※パスワード更新などパスワード強度を確保する必要あり • 派生リスク – 保管された暗号鍵の漏えい ※対立リスクは抽出できなかった ※アクセス制限やログ監視する必要あり 23 IPA-CC認証製品による検証 -固有リスク/CA、RAサーバの内部ネットワーク接続- Use Case Path システム連携(LDAP等)のための内部ネットワーク接続 関連リスクのUse Case Path 内部ネットワークへの不正アクセスのフィルタリング 脅威 不正アクセスの通過 事前条件 ファイヤーウォールでフィルタリングする 事後条件 ファイヤーウォールの設定更新(ぜい弱性の継続的改善) システム要求 ユーザの相互作用 ミスユーザの相互作用 ファイヤーウォール を構築しない 内部ネットワークに不 正アクセスする CA、RAサーバ設定時にファイヤ ーウォールの構築を促す ファイヤーウォール 設定を更新しない 内部ネットワークに不 正アクセスする ファイヤーウォール設定の更新 について定期的に促す 相互作用 アクション 24 IPA-CC認証製品による検証 -前提リスク/CA、RAサーバの内部ネットワーク接続- CA、RAサーバを内部 ネットワークに接続する システム構築者 <<include>> <<threaten>> <<リスクを生む>> ファイヤーウォールで フィルタリングする 内部ネットワークに 不正アクセスする <<mitigate>> ファイヤーウォー ルを構築しない <<threaten>> アタッカー <<リスクを生む>> <<threaten>> <<mitigate>> ファイヤーウォール 設定を更新しない ネットワーク管理者 <<mitigate>> <<mitigate>> CA、RAサーバ設定時にファイ ヤーウォールの構築を促す ファイヤーウォール設定の更 新について定期的に促す <<include>> <<include>> ファイヤーウォールを 適切に設定する 25 IPA-CC認証製品による検証 -固有リスク/サーバメンテナンス用のパスワード保護- Use Case Path サーバメンテンス用のユーザID、パスワード発行 関連リスクのUse Case Path サーバメンテンス用のパスワード保護 脅威 部外者による不正アクセス 事前条件 ユーザIDと初期パスワードを正当ユーザに配布する 事後条件 正当ユーザが初期パスワードを変更していることを確認する システム要求 ユーザの相互作用 ミスユーザの相互作用 安易なパスワード を設定する パスワードを推測する 長期間パスワード を更新しない パスワードを推測する パスワードの未更新状況を管 理者に通知する パスワードを書い たメモを貼付する パスワードをのぞき見 する ユーザに対してパスワード露 出の禁止を通知する ID、パスワ-ドをグ ループで共有する 移動者や退職者など権 限のないIDを使用する グループ管理者に対して移動 や退職が生じた場合にパスワ ードを変更するよう通知する 相互作用 アクション パスワード登録を拒否する パスワードの定期的変更を要 求する パスワードの定期的変更を要 求する 26 IPA-CC認証製品による検証 -固有リスク/サーバメンテナンス用のパスワード保護- サーバメンテンス用の ユーザID、初期パスワ ード発行 正当利用者に成り すます <<threaten>> <<mitigate>> <<include>> <<include>> パスワードを変更する <<include>> パスワードを推測 する 管理者 <<threaten>> <<include>> <<リスクを生む>> 安易なパスワードを 設定する アタッカー <<threaten>> <<include>> <<mitigate>> パスワードの誤っ た管理 パスワードをのぞ き見する <<include>> 長期間パスワードを 更新しない <<threaten>> <<include>> <<mitigate>> パスワードを書いた メモを貼付する <<include>> 不用心な操作員 不適切なパスワード 登録を拒否する 権限のないIDを使 用する <<mitigate>> <<mitigate>> <<threaten>> ID、パスワ-ドをグ ループで共有する <<include>> <<mitigate>> パスワードの適切な管理 <<include>> <<include>> パスワードの定期的 変更を要求する <<include>> <<include>> パスワードの未更新状況 を管理者に通知する <<mitigate>> ユーザに対してパスワード 露出の禁止を通知する グループ管理者に対して移動や 退職が生じた場合にパスワードを 変更するよう通知する 27 IPA-CC認証製品による検証 -残存リスク/サーバメンテナンス正当権限者による不正アクセス- Use Case Path 操作員によるサーバメンテナンス 関連リスクのUse Case Path 正当権限者による不正アクセスの監視 脅威 正当権限者による不正アクセスの未発見 事前条件 操作履歴を記録する 事後条件 不審な操作履歴が記録されていないか確認する ユーザの相互作用 ミスユーザの相互作用 操作履歴を点検し ない 不正アクセスが発見さ れない 操作履歴の内容を 評価できない 不正アクセスが発見さ れない システム要求 相互作用 アクション 管理者は作業計画や作業報 告と操作履歴レポートとを内容 比較する 定期的に操作履歴レポートを生 成する 操作履歴レポートの意味を理解 しやすいように内容表示する 28 IPA-CC認証製品による検証 -残存リスク/サーバメンテナンス正当権限者による不正アクセス- サーバメンテナン スを行う システムが故障する <<mitigate>> 障害 <<threaten>> <<include>> 正当な操作員 不正アクセスしよう とする <<mitigate>> 不審な操作履歴がな いか確認する 悪意のある、又は権限を喪失した元操作員 <<include>> <<リスクを生む>> 操作履歴を点検しない <<threaten>> <<include>> 不審な操作履歴がな いか確認しない 不正アクセスに気 づかれない <<threaten>> <<mitigate>> <<include>> <<mitigate>> 怠慢な管理者 操作履歴の内容を 評価できない <<mitigate>> 管理者は作業計画や作 業報告と操作履歴レポ ートとを内容比較する 定期的に操作履歴レポ ートを生成する 操作履歴レポートの意 味を理解しやすいように 内容表示する <<include>> <<include>> <<include>> 操作履歴の適切管理 29 IPA-CC認証製品による検証 -派生リスク/保管された暗号鍵の漏えい- Use Case Path 発行された暗号鍵の保管 関連リスクのUse Case Path 保管された暗号鍵に対する不正アクセスの防止 脅威 保管された暗号鍵への不正アクセス 事前条件 保管された暗号鍵に対するアクセス制御を設定する 保管された暗号鍵へのアクセス情報をログファイルに記録する 事後条件 ログファイルに不正アクセスが記録されていないか確認する ユーザの相互作用 ミスユーザの相互作用 アクセス制御を設 定しない システム要求 相互作用 アクション 暗号鍵に不正アクセス する アクセス制御が設定されていな いファイルを管理者に通知する 暗号鍵の保管設定時にアク セス制御の設定を促す アクセス情報をロ グファイルに記録し ない 不正アクセスが発見さ れない ログファイルが作成されていない フィルタリング設定を管理者に通 知する 暗号鍵の保管設定時にログ ファイルの作成を必須にする ログファイルの内 容を点検しない 不正アクセスが発見さ れない ログファイルの内 容を評価できない 不正アクセスが発見さ れない ログファイルが長期間オープンさ れていないことを管理者に通知 する ログファイルの意味を理解し やすいように内容表示する ※暗号鍵の保管先が持ち出し可能な媒体の場合には、ログファイルによる監視ではなく、監視カメラや実 棚確認という対策が必要になる。 30 IPA-CC認証製品による検証 -派生リスク/保管された暗号鍵の漏えい- 暗号鍵を発行する <<include>> 暗号鍵を紛失・ 破壊する <<threaten>> <<mitigate>> 障害 保管された暗号鍵 を盗む 暗号鍵を保管する <<threaten>> <<リスクを生む>> システム ソーシャルエンジニアリング <<リスクを生む>> アクセス制御を適 用しない <<threaten>> 保管された暗号鍵へ の不正アクセスに成功 する 誤った保管 <<include>> <<mitigate>> <<mitigate>> <<include>> <<mitigate>> <<threaten>> アクセス情報をログファ イルに記録しない <<threaten>> アタッカー 怠慢な管理者 <<include>> 暗号鍵の保管設定時に アクセス制御の設定を 促す アクセス制御が設定され ログファイルの内容 を点検しない ていない暗号鍵を管理 者に通知する <<mitigate>> <<include>> <<include>> アクセス制限をかける <<threaten>> <<mitigate>> <<mitigate>> ログファイルが作成されて いない暗号鍵を管理者に通 知する 暗号鍵の保管設定時 にログファイルの作成 を必須にする <<include>> <<include>> ログファイルが長期間オ ープンされていないこと を管理者に通知する ログファイルの内容 を評価できない <<mitigate>> ログファイルの意味を 理解しやすいように内 容表示する <<include>> <<include>> ログ監視を行う 31 まとめ -成果と今後の課題 - • 成果 – 関連リスクを分析評価することで、セキュリティホールの発 生を予測・回避することができる – SecurityCasesとMisUsecaseによって、関連リスクの threatenに対するmitigateとなる機能要件を設計できる – 関連リスクには、パスワード未更新やログ放置といった、 人間心理、人的ぜい弱性に関連するものが多い • 今後の課題 – セキュリティ対策を講じる度に、関連リスクが無限に発生し てしまうため、許容レベルの設定と、関連リスクを定量評 価( threatenとmitigate)した上での判別手法が必要であ る! 32 謝辞 • 本研究を進めるにあたり、海谷治彦助教授の多大なご指導 をいただきました。また、工学部情報工学科の雨宮 和寿君 にはユースケース作成あたって、大変有用なアイデアをいた だきました。心から感謝いたします。 33
© Copyright 2024 ExpyDoc
