DevOpsにおいて効率的にセキュリティ品質確保を行う技術の研究

DevOps中高效保障安全质量的技术研究

基本信息

批准号：
21K11895
负责人：
大久保隆夫
金额：
$ 2.58万
依托单位：
Institute of Information Security
依托单位国家：
日本
项目类别：
Grant-in-Aid for Scientific Research (C)
财政年份：
2021
资助国家：
日本
起止时间：
2021-04-01 至 2024-03-31
项目状态：
已结题

项目摘要

本研究は、DevOpsにおけるセキュリティの効率的な分析手法について研究することを目的としているものである。2021年度は、脅威分析手法の一ｔで、攻撃と対策の関係を記述可能なAttack Defense Treesとプロセスマイニングによる効率的なDevOps向けのセキュリティ確保手法について検討したが、2022年度は、2021年度に開発したこの手法を完成し、国際会議KES2022(イタリア、ベローナ、2022年9月)のワークショップにおいて提案を行った。提案手法は、DevOpsの最初の開発時に脅威分析によって開発者が構築したAttack Defense Treesを以降の繰り返しでは差分のみ参照するようにして、毎回脅威分析を1から行う手間を省力化することを狙っている。また、運用(Ops)で検出された異常をログなどから抽出し、その異常からCommon Attack Pattern Enumeration and Classification (CAPEC),Common Weakness Exposure(CWE)の知識ベースを利用して脅威→攻撃→脆弱性→対策の順に導出していき、最終的に次のセキュリティ要件に追加していく手法である。また、この手法を実現するツールとして、情報セキュリティ大学院大学においては、Attack Treeのパターン化と再利用の研究を進めた。その結果、知識ベースCAPECから攻撃対象と攻撃要件を自動抽出することにより、パターン化が高精度に行えることが分かった。この成果は2022年コンピュータセキュリティシンポジウム(CSS2022)において発表し、研究奨励賞を受賞した。

本研究的目的是研究 DevOps 中高效的安全分析方法。在2021财年，我们考虑了使用攻击防御树（可以描述攻击与对策之间关系的威胁分析方法）和流程挖掘的DevOps的有效安全确保方法，我们完成了该方法，并在国际会议KES2022的研讨会上提出了该方法。（意大利维罗纳，2022 年 9 月）。所提出的方法旨在通过在后续迭代中仅参考开发人员在DevOps的初始开发过程中通过威胁分析构建的攻击防御树中存在的差异，来节省每次从头开始进行威胁分析的工作。此外，我们从日志等中提取操作（Ops）期间检测到的异常，并使用常见攻击模式枚举和分类（CAPEC）和常见弱点暴露（CWE）等知识库来识别威胁→攻击→漏洞→此。是一种按顺序导出对策并最终将其添加到下一个安全需求的方法。此外，作为实现该方法的工具，信息安全研究生大学对攻击树的模式化和重用进行了研究。结果，我们发现通过从知识库CAPEC中自动提取攻击目标和攻击需求，可以高精度地进行模式化。该成果在2022年计算机安全研讨会（CSS2022）上公布，并获得研究鼓励奖。