JP2015130152A - Information processing device and program - Google Patents
Information processing device and program Download PDFInfo
- Publication number
- JP2015130152A JP2015130152A JP2014233898A JP2014233898A JP2015130152A JP 2015130152 A JP2015130152 A JP 2015130152A JP 2014233898 A JP2014233898 A JP 2014233898A JP 2014233898 A JP2014233898 A JP 2014233898A JP 2015130152 A JP2015130152 A JP 2015130152A
- Authority
- JP
- Japan
- Prior art keywords
- security
- data system
- combination
- target data
- countermeasure
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Stored Programmes (AREA)
Abstract
Description
本発明は、開発対象の開発対象データシステムへのセキュリティ対策の実装を支援する技術に関する。
以下では、組込みシステムを開発対象データシステムの例として説明する。
The present invention relates to a technique for supporting the implementation of security measures in a development target data system to be developed.
Hereinafter, an embedded system will be described as an example of a development target data system.
組込みシステムでは、第三者によって製品の解析が行われた結果、模倣品が製造され、ビジネスが阻害されるという問題や、組込みシステムの運用中にも外部からの攻撃により被害が生じるといった問題があり、それらを防止するためにセキュリティ対策が必要となっている。 In embedded systems, as a result of product analysis by a third party, counterfeit products are manufactured, business is hindered, and damage is caused by external attacks during the operation of embedded systems. There are security measures to prevent them.
従来のセキュリティ評価支援ツールでは、対象とするシステムが情報処理装置上で動作し、複数のコンポーネントから構成されているものであって、特にリソースに制限のある組込みシステムを対象としたものではなかった(例えば、特許文献1、2)。
In the conventional security evaluation support tool, the target system runs on the information processing device and is composed of multiple components, not specifically for embedded systems with limited resources. (For example,
近年、組込みシステムにおいてセキュリティ対策が必要との認識が高まっている一方で、開発予算において、セキュリティ対策は組込みシステムの本来の機能ほどには重視されないことが多く、限られたリソースでセキュリティ対策を行わなければならないという課題がある。 In recent years, the recognition that security measures are necessary in embedded systems is increasing, but security measures are often not as important as the original functions of embedded systems in the development budget, and security measures are taken with limited resources. There is a problem that must be.
組込みシステムに対するセキュリティリスク分析は、開発前に机上で経験に則って検討を行うことがあっても体系的なものではなく、多くは開発完了後に行われている。
そのため、致命的な欠陥によりセキュリティ対策の見直しが必要となった場合には開発の大幅な遅れを招き、或いは何等かの理由により修正を行わない場合には次製品での課題にするなど潜在的な問題を包含したまま先送りになることも多い。
このような現状に対して、開発全体を効率よく行うためには、セキュリティ対策をどのタイミングで行うべきかという課題がある。
Security risk analysis for embedded systems is not systematic even if it is considered based on experience on a desk before development, and many are performed after development is completed.
As a result, if security measures need to be reviewed due to a fatal defect, the development will be delayed significantly, or if for some reason it is not corrected, it will be a potential issue for the next product. In many cases, it is postponed while including various problems.
In order to efficiently perform the entire development against such a current situation, there is a problem as to when security measures should be taken.
リスク分析の結果、脆弱性に対して何らかの対策が必要な場合に、組込みシステムではメモリ容量(ROM(Read Only Memory)サイズ、RAM(Random Access Memory)サイズ)、処理時間等に制約があるため、通常すべての対策を施すことが可能であるとは限らない。
そのため、制約条件のもとにおいて、いかに効果的なセキュリティ対策を実装することができるかを配慮しなければならない。
As a result of risk analysis, when some countermeasures against vulnerability are required, the embedded system has restrictions on memory capacity (ROM (Read Only Memory) size, RAM (Random Access Memory) size), processing time, etc. Usually, not all measures can be taken.
Therefore, it is necessary to consider how effective security measures can be implemented under the constraints.
組込みシステムの本来の機能を実装した上でさらにセキュリティ対策を加えるということは、セキュリティ対策のためのプログラムによりメモリが使用され、またセキュリティ対策によって処理量が増えるために処理時間にオーバーヘッドが生じる。
セキュリティ対策のためのプログラムのプログラムサイズはトータルのROMサイズ内に収まらなければならず、またセキュリティ対策のためのオーバーヘッドを含めても機能要求の許容時間内で所定の処理が行われなければならない。
Adding security measures after implementing the original functions of an embedded system means that memory is used by a program for security measures, and the amount of processing increases due to security measures, resulting in an overhead in processing time.
The program size of the program for security measures must be within the total ROM size, and even if the overhead for security measures is included, predetermined processing must be performed within the allowable time for function requests.
セキュリティ対策を実装する際に、実際にすべての方法を試してみるにはTAT(Turn Around Time)が長いという課題がある。
また優先順位や効果を考慮せずにセキュリティ対策を実装すると肝心な対策が後回しになってしまったり、偏った対策になってしまったりという可能性があり、開発上の効率が悪いという課題がある。
When implementing security measures, there is a problem that TAT (Turn Around Time) is long to actually try all methods.
Also, if security measures are implemented without considering priority and effects, there is a possibility that the important measures may be postponed or biased, leading to poor development efficiency. .
この発明は上記のような事情に鑑みたものであり、開発対象データシステムに実装された場合の影響を考慮して、開発対象データシステムに実装すべきセキュリティ対策の組合せを提示できるようにすることを主な目的とする。 The present invention has been made in view of the circumstances as described above, and it is possible to present a combination of security measures to be implemented in a development target data system in consideration of the effects when implemented in the development target data system. Is the main purpose.
本発明に係る情報処理装置は、
開発対象の開発対象データシステムへのセキュリティ対策の実装を支援する情報処理装置であって、
セキュリティに関する複数の脅威が定義されるとともに、脅威ごとに、1つ以上のセキュリティ対策が定義されるセキュリティ対策情報を記憶するセキュリティ対策情報記憶部と、
前記セキュリティ対策情報で定義されている前記複数の脅威のうち、前記開発対象データシステムで対処すべき脅威を対象脅威として複数特定する対象脅威特定部と、
対象脅威ごとに、前記セキュリティ対策情報で定義されているセキュリティ対策を抽出するセキュリティ対策抽出部と、
前記セキュリティ対策抽出部により抽出されたセキュリティ対策を組み合わせて複数の対象脅威に対するセキュリティ対策の組合せパターンを生成し、組合せパターンごとに、組合せパターンに含まれるセキュリティ対策の組合せによって生じる効果を解析して当該セキュリティ対策の組合せが実装された場合の前記開発対象データシステムへの影響を表す実装影響値を算出し、算出した実装影響値に基づき、特定の組合せパターンを選択する組合せパターン選択部とを有することを特徴とする。
An information processing apparatus according to the present invention includes:
An information processing apparatus that supports the implementation of security measures in a development target data system,
A security countermeasure information storage unit that stores a plurality of security threats and stores security countermeasure information in which one or more security countermeasures are defined for each threat;
Among the plurality of threats defined in the security countermeasure information, a target threat identifying unit that identifies a plurality of threats to be dealt with by the development target data system as target threats;
A security measure extraction unit that extracts security measures defined in the security measure information for each target threat;
A security countermeasure combination pattern for a plurality of target threats is generated by combining the security countermeasures extracted by the security countermeasure extraction unit, and the effect generated by the combination of security countermeasures included in the combination pattern is analyzed for each combination pattern. A combination pattern selection unit that calculates an implementation influence value that represents an influence on the development target data system when a combination of security measures is implemented, and selects a specific combination pattern based on the calculated implementation influence value; It is characterized by.
本発明は、組合せパターンごとに、組合せパターンに含まれるセキュリティ対策の組合せによって生じる効果を解析してセキュリティ対策の組合せが実装された場合の開発対象データシステムへの影響を表す実装影響値を算出し、算出した実装影響値に基づき、特定の組合せパターンを選択する。
このため、開発対象データシステムに実装された場合の影響を考慮して、開発対象データシステムに実装すべきセキュリティ対策の組合せを提示することができる。
The present invention calculates, for each combination pattern, an implementation impact value that represents the impact on the development target data system when the combination of security measures is implemented by analyzing the effects caused by the combination of security measures included in the combination pattern. A specific combination pattern is selected based on the calculated mounting influence value.
For this reason, it is possible to present a combination of security measures to be implemented in the development target data system in consideration of the effects when implemented in the development target data system.
実施の形態1.
本実施の形態では、組込みシステムの開発工程の中でセキュリティリスク分析を行いながら、セキュリティ対策の実装を効率的に行うことを可能にするセキュリティリスク分析装置を説明する。
本実施の形態に係るセキュリティリスク分析装置は、組込みシステムにおける制約の範囲内で、セキュリティリスク対策の選択と実施、及びこれに伴う見積もり・評価を可能にする。
また、本実施の形態に係るセキュリティリスク分析装置は、リソースに制限がある(メモリ容量が少ない、CPU(Central Processing Unit)性能が低い等)組込み環境において、存在する脅威を抽出するとともに、実装すべき最適なセキュリティ対策を選択して実装することを可能にする。
また、本実施の形態に係るセキュリティリスク分析装置は、個々のセキュリティ対策について見積もった後に、各セキュリティ対策の依存関係を解析し、セキュリティ対策の組合せを考慮しリスク値を最小化するような最適解を見つけることで、制約条件のもとで、どのセキュリティ対策を選択して実装するのが最適であるかを調べることができる。
In the present embodiment, a security risk analysis apparatus that enables efficient implementation of security measures while performing security risk analysis in the development process of an embedded system will be described.
The security risk analysis apparatus according to the present embodiment enables selection and implementation of security risk countermeasures, and estimation / evaluation associated therewith within the limits of the embedded system.
In addition, the security risk analysis apparatus according to the present embodiment extracts and implements threats that exist in an embedded environment with limited resources (low memory capacity, low CPU (Central Processing Unit) performance, etc.). It is possible to select and implement the best security measures that should be implemented.
In addition, the security risk analysis apparatus according to the present embodiment, after estimating each security measure, analyzes the dependency relationship of each security measure and considers the combination of security measures to minimize the risk value. By finding, it is possible to examine which security measures are optimally selected and implemented under the constraints.
図1は、本実施の形態に係るセキュリティリスク分析装置1を用いた開発手順を示す。
セキュリティリスク分析装置1は、情報処理装置の例に相当する。
FIG. 1 shows a development procedure using the security
The security
セキュリティリスク分析装置1は、開発対象データシステム(ハードウェア及びソフトウェアのコンポーネントから構成される)のコンフィギュレーションデータ2、例えば開発対象データシステムのソフトウェアプログラムの構成が定義される情報、ハードウェア構成が定義される情報、シミュレーション情報、属性情報等からなる情報の入力を受ける。
開発対象データシステムは、例えば組込みシステムである。
セキュリティリスク分析装置1は、コンフィギュレーションデータ2を解析して、リスクを抽出するとともに、制約条件にあわせてセキュリティ対策の組合せを選び出して最適化対策リスト3として提示する。
ユーザ(あるいは開発者)は、最適化対策リスト3に示されるセキュリティ対策の組合せに従って、開発対象データシステムにセキュリティ対策を実装する。
The security
The development target data system is, for example, an embedded system.
The security
The user (or developer) implements security measures in the development target data system according to the combination of security measures shown in the
コンフィギュレーションデータ2には、開発対象データシステムのハードウェアおよびソフトウェア構成から自動的かつ機械的に得られる情報に加えて、ユーザ(あるいは開発者)が予め入力しておく必要のある情報がある。
前者は、ソフトウェアの実機上での動作をシミュレートするために必要な各種データである。
後者は開発対象データシステム上で扱われるデータ(情報資産)に対して、資産価値という観点から評価の重み付けを与えるための数値である。
開発対象データシステム内の各情報資産はプログラムの中で一意のパラメータ(名称)として記述されているものに対応するため、それぞれに情報資産の価値を数値として定義することにより、開発対象データシステム内において情報資産の所在や流れを自動的に解析することが可能になる。
開発対象データシステムの開発を行う開発環境は、開発対象データシステムのプログラム内部のパラメータの一覧を識別可能なフォーマットでユーザに示すことができ、それぞれのパラメータの資産価値をユーザが判断して入力するようにユーザインタフェースを通じて促すことができる。
そのようにして、情報資産の価値を決定し定義することができる。
The
The former is various data necessary for simulating the operation of software on an actual machine.
The latter is a numerical value for weighting evaluation from the viewpoint of asset value for data (information assets) handled on the development target data system.
Each information asset in the development target data system corresponds to what is described as a unique parameter (name) in the program. Therefore, by defining the value of the information asset as a numerical value, It is possible to automatically analyze the location and flow of information assets.
The development environment for developing the development target data system can show the user a list of parameters inside the program of the development target data system in an identifiable format, and the user determines and inputs the asset value of each parameter. Can be prompted through the user interface.
In that way, the value of information assets can be determined and defined.
図2は、本実施の形態に係るセキュリティリスク分析装置1及び開発対象データシステム112のハードウェア構成例を示す。
FIG. 2 shows a hardware configuration example of the security
図2において、セキュリティリスク分析装置1は、CPU101、RAM102、ROM103、ハードディスク104、表示ディスプレイ105、キーボード106、マウス107、通信ボード108からなり、これらは内部バス109に接続されている。
セキュリティリスク分析装置1は、通信ボード108を介して、外部バス119を経由し、開発対象データシステム112に接続されている。
開発対象データシステム112は、CPU113、コプロセッサ114、RAM115、ROM116、通信ボード117からなり、これらは内部バス118に接続されている。
また、通信ボード117を介して外部バス119に接続されている。
In FIG. 2, the security
The security
The development
Further, it is connected to the
図3は、本実施の形態に係るセキュリティリスク分析装置1の機能モジュール構成例を示す。
FIG. 3 shows a functional module configuration example of the security
図3において、脅威データベース209は、開発対象データシステムの開発において考慮すべき複数の脅威が定義される脅威情報を記憶する。
In FIG. 3, the
実装データベース210は、脅威データベース209で定義されている複数の脅威が定義されるとともに、脅威ごとに、1つ以上のセキュリティ対策が定義されるセキュリティ対策情報を記憶する。
実装データベース210は、例えば暗号アルゴリズムのような機能モジュールを実装する際に、ターゲットCPUに応じて必要なステップをインストラクションレベルで算出する際に参照する。
実装データベース210は、セキュリティ対策情報記憶部の例に相当する。
The
The mounting
The mounting
制約条件抽出部201は、コンフィギュレーションデータを解析して、制約条件リストを生成する。
制約条件リストでは、セキュリティ対策による開発対象データシステムのリソースへの影響及び処理時間への影響に対する制約条件が定義される。
制約条件リストの制約条件は実装影響値条件の例に相当し、制約条件抽出部201は実装影響値条件導出部の例に相当する。
The constraint
In the constraint condition list, the constraint conditions for the influence on the resource and the processing time of the development target data system by the security measures are defined.
The constraint condition in the constraint condition list corresponds to an example of an implementation influence value condition, and the constraint
リスク分析部202は、対象脅威リストを生成する。
より具体的には、リスク分析部202は、脅威情報で定義されている複数の脅威(すなわち、セキュリティ対策情報で定義されている複数の脅威)のうち、開発対象データシステムで対処すべき脅威を対象脅威として複数特定し、対象脅威が記述される対象脅威リストを生成する。
リスク分析部202は、対象脅威特定部の例に相当する。
The
More specifically, the
The
対策解析部203は、対象脅威リストに記述される対象脅威ごとに、セキュリティ対策情報で定義されているセキュリティ対策を抽出するとともに、抽出したセキュリティ対策が単独で実装された場合の開発対象データシステムへの影響を表す実装影響値を算出する。
そして、対策解析部203は、セキュリティ対策ごとに、実装影響値が示される対策候補リストを生成する。
実装影響値は、例えば、開発対象データシステムにセキュリティ対策が単独で実装された場合のメモリ使用量を表す値、処理時間のオーバーヘッドを表す値、脅威に対する開発対象データシステムの脆弱性を表す値等である。
対策解析部203は、セキュリティ対策抽出部の例に相当する。
The
And the
Implementation impact values include, for example, values that represent memory usage when security measures are independently implemented in the development target data system, values that represent processing time overhead, values that represent the vulnerability of the development target data system to threats, etc. It is.
The
最適化実行部204は、対策解析部203により抽出されたセキュリティ対策を組み合わせて複数の対象脅威に対するセキュリティ対策の組合せパターンを生成する。
また、最適化実行部204は、組合せパターンごとに、組合せパターンに含まれるセキュリティ対策の組合せによって生じる効果を解析し、対策解析部203により算出されたセキュリティ対策の単独の実装影響値と、セキュリティ対策の組合せによって生じる効果の解析結果とに基づき、当該セキュリティ対策の組合せが実装された場合の開発対象データシステムへの影響を表す実装影響値を算出する。
そして、最適化実行部204は、算出した実装影響値と制約条件リストの制約条件に基づき、開発対象データシステムへ実装すべきセキュリティ対策の組合せパターンを選択する。
また、最適化実行部204は、選択した組合せパターンが示される最適化対策リスト3(図1)を生成する。
最適化実行部204は、組合せパターン選択部の例に相当する。
The
In addition, the
Then, the
Further, the
The
制約条件リスト記憶部205は、制約条件抽出部201により生成される制約条件リストを記憶する。
The constraint condition
対象脅威リスト記憶部206は、リスク分析部202により生成される対象脅威リストを記憶する。
The target threat
対策候補リスト記憶部207は、対策解析部203により生成される対策候補リストを記憶する。
最適化対策リスト記憶部208は、最適化実行部204が生成する最適化対策リスト3を記憶する。
The countermeasure candidate
The optimization countermeasure
制約条件リスト記憶部205、対象脅威リスト記憶部206、対策候補リスト記憶部207、最適化対策リスト記憶部208、脅威データベース209、実装データベース210は、図2のハードディスク104内に構成される。
また、制約条件抽出部201、リスク分析部202、対策解析部203、最適化実行部204は、プログラムであり、これらのプログラムは、通常は図2のハードディスク104に記憶されており、RAM102にロードされた状態で、順次CPU101に読み込まれ、実行される。
更に、ハードディスク104には図3に図示していないオペレーティングシステム(OS)も記憶されており、OSの少なくとも一部がRAM102にロードされ、CPU101はOSを実行しながら、図3に示す制約条件抽出部201、リスク分析部202、対策解析部203、最適化実行部204の機能を実現するプログラムを実行する。
また、実施の形態1〜4の説明において、「〜の判断」、「〜の判定」、「〜の抽出」、「〜の算出」、「〜の設定」、「〜の解析」、「〜の選択」、「〜の生成」、「〜の入力」、「〜の出力」等として説明する処理の結果を示す情報やデータや信号値や変数値がRAM102にファイルとして記憶される。
The constraint condition
The constraint
Further, an operating system (OS) not shown in FIG. 3 is also stored in the
In the description of the first to fourth embodiments, “determination of”, “determination of”, “extraction of”, “calculation of”, “setting of”, “analysis of”, “ Information, data, signal values, and variable values indicating processing results described as “selection of”, “generation of”, “input of”, “output of”, and the like are stored in the
図4は、制約条件リストの詳細を示した例である。 FIG. 4 is an example showing details of the constraint condition list.
制約条件リストには型名で表される種別、インストラクション構成、動作周波数等のCPUに関する情報、使用可能なメモリ容量等が含まれる。
また、開発対象データシステムにおいて実現される各機能の単位で要する処理時間の値が含まれる。
許容範囲時間の欄には、開発対象データシステムに対する機能要件からみて、オーバーヘッドを含んだ許容範囲時間の値が設定される。
これは、ユーザの判断により本制約条件リストを後の工程で参照して利用する前に設定されるものである。
許容範囲時間の値はシステムへの要求仕様によって決まるので、セキュリティリスク分析装置1は、ユーザインタフェースを通じて外部から設定するための機構を備えている。
図4に示すように、制約条件リストには、ROMの使用可能バイト数、RAMの使用可能バイト数、各処理時間の許容時間範囲が記述されている。
つまり、制約条件リストには、セキュリティ対策によって消費されるROMのバイト数、RAMのバイト数の許容値(上限)が定義されおり、また、セキュリティ対策によって発生する処理時間のオーバーヘッドの許容値(上限)が定義されている。
The constraint condition list includes information about the CPU such as the type represented by the model name, instruction configuration, operating frequency, usable memory capacity, and the like.
In addition, the value of the processing time required for each function realized in the development target data system is included.
In the column of allowable range time, a value of allowable range time including overhead is set in view of functional requirements for the development target data system.
This is set before referring to and using this restriction condition list in a later process by the user's judgment.
Since the value of the allowable range time is determined by the required specifications for the system, the security
As shown in FIG. 4, the constraint condition list describes the number of usable bytes of ROM, the number of usable bytes of RAM, and the allowable time range of each processing time.
That is, the constraint condition list defines the ROM bytes consumed by the security measures and the allowable values (upper limit) of the RAM bytes, and the allowable overhead (upper limit) of the processing time generated by the security measures. ) Is defined.
図5は、対象脅威リストの詳細を示した例である。 FIG. 5 is an example showing details of the target threat list.
対象脅威リストには、開発対象データシステムで対処すべき脅威の一覧とそれぞれのリスク値が含まれる。
脅威IDは、各脅威の識別子であり、脅威データベース209の脅威情報及び実装データベース210のセキュリティ対策情報に示される脅威IDと共通している。
リスク値は情報資産の価値と発生可能性をもとに自動的に算出される値である。
情報資産の価値は既に説明した通り、前の工程における所定の操作により定義されている。
一方、発生可能性は脅威データベース209を参照して得ることができる。
リスク値は資産の価値が高いほど、また発生可能性が大きいほど、大きい値をとるように設定される。
対象脅威リストにおいて一覧の結果が表示されるので、ユーザの認識と齟齬がないかどうかを確認することができる。
The target threat list includes a list of threats to be dealt with in the development target data system and respective risk values.
The threat ID is an identifier of each threat and is common to the threat ID shown in the threat information of the
The risk value is a value that is automatically calculated based on the value and possibility of occurrence of information assets.
As described above, the value of the information asset is defined by a predetermined operation in the previous process.
On the other hand, the possibility of occurrence can be obtained by referring to the
The risk value is set to take a larger value as the value of the asset is higher and the possibility of occurrence is higher.
Since the result of the list is displayed in the target threat list, it is possible to check whether there is any flaw in the user's recognition.
図6は、対策候補リストの詳細を示す。 FIG. 6 shows details of the countermeasure candidate list.
対策候補リストは、脅威に対処する方式と、各方式を実現するための実装方法(セキュリティ対策)の候補、各実装方法を実装したときの実装影響値が含まれる。
実装影響値には、各実装方法の実装に必要なメモリ使用量(ROM及びRAM)、各実装方法を実装したときに生じる処理時間のオーバーヘッド、各実装方法を実装した後に期待されるリスク値(脆弱性)の見積もり値が含まれる。
対策候補リストに示される各値は、個々のセキュリティ対策の実装をそれぞれ単独に評価した際の数値となる。
The countermeasure candidate list includes methods for dealing with threats, candidates for implementation methods (security measures) for realizing each method, and implementation impact values when each implementation method is implemented.
The implementation impact value includes the amount of memory used (ROM and RAM) required for implementation of each implementation method, the processing time overhead that occurs when each implementation method is implemented, and the risk value expected after each implementation method is implemented ( Vulnerability) estimate is included.
Each value shown in the countermeasure candidate list is a numerical value when each security countermeasure implementation is independently evaluated.
図7は、最適化対策リストの詳細を示した例である。 FIG. 7 is an example showing details of the optimization countermeasure list.
最適化対策リストには、対策組合せ、脅威ID、実装方法(セキュリティ対策)、実装影響値(ROM、RAM、時間、リスク)が含まれる。
対策組合せの欄には、セキュリティ対策の組合せパターンのIDが示される。
脅威ID、実装方法(セキュリティ対策)は、対策候補リストに示すものと同じである。
実装影響値であるメモリ使用量(ROM及びRAM)、処理時間のオーバーヘッド、実装後に期待されるリスク値(脆弱性)の見積もり値は、セキュリティ対策の組み合わせによる相殺を含めて総合的に算出された値である。
図7において、下線を付している数値が、相殺により、対策候補リスト(図6)の数値から減少している数値である。
例えば、対策組み合わせ:7では、U001:AES高速とU009:AES高速で共通モジュールを使用可能であることからROMの増加を減らせる(U009:AES高速のROM使用量はU001:AES高速のROM使用量に吸収される)と判断したことを示している。
また、対策組み合わせ:1では、U007:ストリーム暗号1の処理とU013:検算の処理とが並列化され、U007:ストリーム暗号1の処理時間がU013:検算の処理時間に吸収されると判断したことを示している。
なお、図7では、最適化対策リストの出力方法を表としたが、最適化対策リストの出力方法は表だけとは限らず、リスク分析の総合プロファイラとして脅威の存在箇所、リソース増減とリスク増減の関係をグラフィカルに出力することも可能である。
The optimization countermeasure list includes countermeasure combination, threat ID, mounting method (security countermeasure), and mounting influence value (ROM, RAM, time, risk).
In the countermeasure combination column, IDs of combination patterns of security countermeasures are shown.
The threat ID and the implementation method (security countermeasure) are the same as those shown in the countermeasure candidate list.
The estimated amount of memory usage (ROM and RAM), processing time overhead, and risk value (vulnerability) expected after implementation, including implementation-related impact values, were comprehensively calculated including offsets due to combinations of security measures. Value.
In FIG. 7, the underlined numerical value is a numerical value that is decreased from the numerical value in the countermeasure candidate list (FIG. 6) due to cancellation.
For example, in the combination of countermeasures: 7, since the common module can be used at U001: AES high speed and U009: AES high speed, the increase in ROM can be reduced (U009: AES high-speed ROM usage is U001: AES high-speed ROM usage) The amount is absorbed).
Also, in the
In FIG. 7, the optimization countermeasure list output method is a table. However, the optimization countermeasure list output method is not limited to a table. As a comprehensive profiler for risk analysis, threat location, resource increase / decrease and risk increase / decrease It is also possible to graphically output the relationship.
また、セキュリティリスク分析装置1は、実装影響値、制約条件、リスク値等として指定された数値をユーザが見直すために実装影響値、制約条件、リスク値等の数値の再設定を可能とし、再設定した実装影響値、制約条件、リスク値等による最適化対策の評価を可能とするインタフェースを備える。
In addition, the security
次に、動作について説明する。
図10は、セキュリティリスク分析装置1の内部の機能ブロック(プログラム)及びデータの入出力関係を示す。
図11は、セキュリティリスク分析装置1における処理を示したフローチャートである。
以下では、図11を用いて、セキュリティリスク分析装置1の動作を説明する。
Next, the operation will be described.
FIG. 10 shows the input / output relationship of the function blocks (programs) and data inside the security
FIG. 11 is a flowchart showing processing in the security
Below, operation | movement of the security
ステップS2101では、制約条件抽出部201が、開発対象データシステムのコンフィギュレーションデータ2を入力し、制約条件リストを生成する。
図4に示すように、制約条件リストにより、今後のセキュリティ対策の実装に使用可能なメモリ残量等が把握できる。
また、制約条件リストには、現状の各処理単位の処理時間がそれぞれ表示されるので、ユーザは、制約条件リストを参照して、開発対象データシステムへの要求仕様によって決まる処理時間の許容範囲値を所定のインタフェースを介して設定することができる。
In step S2101, the constraint
As shown in FIG. 4, the remaining amount of memory that can be used for implementing future security measures can be grasped from the restriction condition list.
In addition, since the processing time of each current processing unit is displayed in the constraint condition list, the user refers to the constraint condition list, and the allowable range value of the processing time determined by the required specifications for the development target data system Can be set via a predetermined interface.
ステップS2102では、リスク分析部202が、開発対象データシステムのコンフィギュレーションデータ2と脅威データベース209の脅威情報を入力し、セキュリティリスク分析を実行して、対象脅威リストを生成する。
リスク分析部202は、プログラムの動作、処理手順を命令実行レベルで解析し、脅威データベース209の脅威情報を参照することで、開発対象データシステムでの脅威の存在箇所及び脅威の種類を特定することができる。
また、リスク分析部202は、リスク値を情報資産の価値と発生可能性をもとに自動的に算出する。
ここで、図5のような対象脅威リストが表示されるので、ユーザは、リスク分析部202により抽出された脅威が自身の認識と齟齬がないかどうかを視覚的に確認することができる。
もし齟齬がある場合には、ユーザは、必要に応じて脅威データベース209のカスタマイズや設定数値の見直しや調整を、インタフェースを通じて行うことができる。
In step S2102, the
The
Further, the
Here, since the target threat list as shown in FIG. 5 is displayed, the user can visually confirm whether or not the threat extracted by the
If there is a defect, the user can customize the
ステップS2103では、対策解析部203が、S2101で生成された制約条件リスト、S2102で生成された対象脅威リスト及び実装データベース210のセキュリティ対策情報を入力し、解釈を実行する。
ここでは、まず、対策解析部203は、対象脅威リストに示される脅威(Txxx)ごとに、可能な方式(CMxxx)をすべて挙げる。
次に、対策解析部203は、方式ごとに、方式を実現するための実装方法(セキュリティ対策)(Uxxx)をすべて挙げる。
更に、対策解析部203は、実装方法(セキュリティ対策)ごとに、実装方法(セキュリティ対策)を実装する際の使用リソース(ROM、RAMサイズ)、処理のオーバーヘッド(時間)、その対策を実装することによる期待されるリスク値といった見積もり値を算出して、対策候補リストを生成する。
対策候補リストに示される実装影響値は、個々のセキュリティ対策をそれぞれ単独に評価した際の数値となり、セキュリティ対策の組み合わせによる効果は含まれていないものになる。
セキュリティ対策情報には、実装方法(セキュリティ対策)ごとに、実装方法(セキュリティ対策)が単独で実装された場合の実装影響値を算出するためのパラメータが記述されており、対策解析部203は、セキュリティ対策情報に記述されているパラメータを用いて、実装影響値を算出する。
In step S2103, the
Here, first, the
Next, the
Further, the
The implementation impact value shown in the countermeasure candidate list is a numerical value when each security countermeasure is evaluated independently, and does not include the effect of the combination of security countermeasures.
In the security countermeasure information, for each mounting method (security countermeasure), a parameter for calculating an implementation influence value when the mounting method (security countermeasure) is independently implemented is described. Use the parameters described in the security countermeasure information to calculate the implementation impact value.
ステップS2104では、最適化実行部204が、S2101で生成された制約条件リストとS2103で生成された対策候補リストを入力し、最適化対策リスト3を出力し、処理を終了する。
図12は、最適化実行部204の処理手順を示す。
最適化実行部204は、開発対象データシステムにおけるメモリ使用可能量や処理時間の許容範囲といった制約条件を参照することにより、最適化処理1として、対策候補リストに示される対象脅威ごとのセキュリティ対策を網羅的に組み合わせて全組合せ対策リストを生成する。
次に、最適化実行処理2として、全組合せ対策リストの中から実装候補のセキュリティ対策の絞り込みを行い、最適化対策リスト3を生成する。
全組合せ対策リストは、図8及び図9に示すように、対象脅威ごとのセキュリティ対策に対して可能な全ての組み合わせを網羅的に調べて、全ての組合せの組合せパターンを生成し、組合せパターンごとに実装影響値(メモリ使用量、処理時間のオーバーヘッド、リスク値)を算出する。
この段階での実装影響値は、図7に示したように、セキュリティ対策の組合せによる効果(相殺、相乗効果等)が反映された値である。
最適化実行部204は、最適化実行処理2において、組合せパターンごとに、組合せパターンに含まれるセキュリティ対策が組み合わされて実装された場合のメモリ使用量、処理時間のオーバーヘッドをシミュレートし、セキュリティ対策の組合せによる効果が反映された値を算出する。
なお、リスク値は、組合せパターンに含まれるセキュリティ対策のリスク値のうちの最大値が用いられる。
最適化実行部204は、全組合せ対策リストの組合せパターンの中から、制約条件リストに示される制約条件に合致する組合せパターンを選択し、選択した組合せパターンが示される最適化対策リスト3を生成する。
最適化実行部204は、例えば、制約条件リストに示されるメモリ使用量の条件、処理時間の条件に合致する実装影響値の組合せパターンを選択する。
制約条件に合致する組合せパターンが多数存在する場合は、実装影響値がよい順(メモリ使用量が少ない順、処理時間のオーバーヘッドが少ない順、リスク値が小さい順)に、上位n(nは任意数)個の組合せパターンを選択する。
そして、最適化実行部204は、生成した最適化対策リスト3を表示装置に表示する。
最適化実行部204は、このように、各セキュリティ対策の依存関係を解析し、制約条件の範囲内で、セキュリティ対策の組み合わせによりメモリ使用効率、処理時間、リスク値という尺度でセキュリティ対策を実装する場合の影響(結果)を最適化対策リスト上に示すことができるので、ユーザは、例えばリスクを最小化するような最適解を見つけることができる。
In step S2104, the
FIG. 12 shows a processing procedure of the
The
Next, as
As shown in FIG. 8 and FIG. 9, the all combination countermeasure list comprehensively examines all possible combinations for the security countermeasures for each target threat and generates a combination pattern of all combinations. The implementation impact value (memory usage, processing time overhead, risk value) is calculated.
The implementation influence value at this stage is a value reflecting an effect (offset, synergistic effect, etc.) by a combination of security measures, as shown in FIG.
The
As the risk value, the maximum value of the security countermeasure risk values included in the combination pattern is used.
The
For example, the
When there are many combination patterns that match the constraints, the top n (n is arbitrary) in the order of increasing implementation impact values (in order of decreasing memory usage, in order of decreasing processing time overhead, in order of decreasing risk value) Select a few combination patterns.
Then, the
In this way, the
以上のように、本実施の形態に係るセキュリティリスク分析装置1は、個々のセキュリティ対策について実装による結果及び影響を見積もるとともに、さらに絞り込みを行った上で、セキュリティ対策を組合せたときの効果が反映された影響度合いの見積もりを実施する。
このため、ユーザは、制約条件のもとにおいて、どのセキュリティ対策を選択して実装するのが最適であるかを検討することができる。
そして、ユーザは、検討結果を踏まえた上でセキュリティ対策の選択を行い、実際に実装の作業を行うことができる。
As described above, the security
For this reason, the user can examine which security measures are optimally selected and implemented under the constraint conditions.
Then, the user can select security measures based on the examination results, and can actually perform the implementation work.
実施の形態2.
以上の実施の形態1では、開発対象データシステムのコンフィギュレーションデータを参照して、最適化対策リストを得ることを目的として、セキュリティリスク分析装置1が単独で動作する形態をとっている。
これに代えて、従来のソフトウェア開発環境(開発装置)とセキュリティリスク分析装置とを連携させることにより、開発対象データシステムのソフトウェア改修を効率よく行うようにしてもよい。
図13は、ソフトウェア開発環境120とセキュリティリスク分析装置1とを連携させる構成を示す。
図13では、開発対象データシステム112とソフトウェア開発環境120が外部バス128で接続され、ソフトウェア開発環境120とセキュリティリスク分析装置1が外部バス129で接続されている。
図13に示す構成では、開発対象データシステムのターゲットを実装側と評価側で共有するため、別の環境へ物理的に移動する必要がなく、修正内容を反映したソフトウェアを直ちに評価することができる。
In the first embodiment described above, the security
Instead of this, software modification of the development target data system may be efficiently performed by linking a conventional software development environment (development apparatus) and a security risk analysis apparatus.
FIG. 13 shows a configuration in which the
In FIG. 13, the development
In the configuration shown in FIG. 13, since the target of the development target data system is shared between the implementation side and the evaluation side, it is not necessary to physically move to another environment, and the software reflecting the correction contents can be immediately evaluated. .
実施の形態3.
以上の実施の形態1では、開発対象データシステムのコンフィギュレーションデータを参照して、最適化対策リストを得るが、従来のソフトウェア開発環境(開発装置)とセキュリティリスク分析装置とを連携させることにより、開発対象データシステムのソフトウェア開発および改修を更に効率よく行う構成とするようにしてもよい。
図14に示すように、ソフトウェア開発環境130の中に、セキュリティリスク分析装置をセキュリティリスク分析ツール137として組み込むようにしてもよい。
プログラミング言語の統合開発環境には、コンパイラやデバッガの他にデータおよびコードカバレッジ解析を行う機能や、プログラムのボトルネック部分を調べたりするためにプロファイラ機能を搭載しているものがあり、プログラムの分析という機能的な観点からみて親和性が高いといえる。
この場合、リスク分析においてユーザに入力を促すための入力画面や、ユーザに結果を示すための出力画面等のユーザインタフェースを共通化してツールに組み込むことができ、実施の形態2よりも更に利便性を高めることができる。
In the first embodiment described above, the optimization countermeasure list is obtained by referring to the configuration data of the development target data system. By linking the conventional software development environment (development apparatus) and the security risk analysis apparatus, You may make it the structure which performs software development and repair of a development object data system more efficiently.
As shown in FIG. 14, a security risk analysis device may be incorporated as a security
Some programming language integrated development environments include a compiler and debugger, a function that performs data and code coverage analysis, and a profiler function that examines the bottleneck of the program. From the functional point of view, it can be said that the affinity is high.
In this case, user interfaces such as an input screen for prompting the user to input in risk analysis and an output screen for showing the result to the user can be shared and incorporated in the tool, which is more convenient than the second embodiment. Can be increased.
図14に示す構成により、ユーザは、最適なセキュリティ対策の選択を容易に行うことができ、選択した対策の実装を効率よく行い、さらに改修したソフトウェアを再度分析して、改修を施した開発対象データシステムがセキュリティ要件を満たているかの最終的な確認を行うことにより全体の開発を効率よく進めることができる。 With the configuration shown in FIG. 14, the user can easily select the optimal security measures, efficiently implement the selected measures, analyze the modified software again, and develop the modified target. The overall development can be carried out efficiently by finally confirming whether the data system meets the security requirements.
なお、実施の形態1〜3では、ハードウェアが固定した組込みシステム上において、ソフトウェアによるセキュリティ対策を柔軟に行ったが、搭載メモリ容量、CPUスペックといったハードウェア構成の変更についても検討可能なセキュリティリスク分析を実施することができる構成にすることも可能である。
ハードウェア構成を変更してセキュリティリスク分析を行う構成は、実施の形態4で説明する。
In the first to third embodiments, the security measures by software are flexibly performed on the embedded system in which the hardware is fixed. However, the security risk that can be considered for changing the hardware configuration such as the installed memory capacity and CPU specifications. It is also possible to adopt a configuration capable of performing the analysis.
A configuration for performing security risk analysis by changing the hardware configuration will be described in a fourth embodiment.
実施の形態4.
実施の形態1では、開発対象データシステムのハードウェア構成については固定した組込みシステム上において、ソフトウェアによるセキュリティ対策の検討を柔軟に行っている。
本実施の形態では、ハードウェア構成を変更させることによって制約条件を変えることで、より選択の可能性を広げてセキュリティ対策を組込む実装方法について多角的に検討することができる構成を示す。
In the first embodiment, the hardware configuration of the development target data system is flexibly examined by software on a fixed embedded system.
In the present embodiment, a configuration is shown in which a constraint can be changed by changing the hardware configuration, so that the possibility of selection can be further expanded and a mounting method incorporating a security measure can be examined from various perspectives.
本実施の形態に係るセキュリティリスク分析装置1の構成例は、図3に示す通りである。
但し、本実施の形態では、リスク分析部202は、開発対象データシステムに仮想された複数のハードウェア構成について、ハードウェア構成の単位で、対象脅威を特定する。
また、対策解析部203は、ハードウェア構成の単位で、対象脅威ごとに、セキュリティ対策情報で定義されているセキュリティ対策を抽出する。
また、最適化実行部204は、ハードウェア構成の単位で、対策解析部203により抽出されたセキュリティ対策を組み合わせて複数の対象脅威に対するセキュリティ対策の組合せパターンを生成し、組合せパターンごとに、組合せパターンに含まれるセキュリティ対策の組合せによって生じる効果を解析して当該セキュリティ対策の組合せが実装された場合の開発対象データシステムへの影響を表す実装影響値を算出し、算出した実装影響値に基づき、特定の組合せパターンを選択する。
また、対策解析部203は、ハードウェア構成の単位で、対象脅威ごとに、セキュリティ対策情報で定義されているセキュリティ対策を抽出するとともに、抽出したセキュリティ対策が単独で実装された場合の開発対象データシステムへの影響を表す実装影響値を算出する。
そして、最適化実行部204は、ハードウェア構成の単位で、組合せパターンごとに、対策解析部203により算出されたセキュリティ対策の単独の実装影響値と、セキュリティ対策の組合せによって生じる効果の解析結果とに基づき、当該セキュリティ対策の組合せが実装された場合の開発対象データシステムへの影響を表す実装影響値を算出する。
つまり、本実施の形態に係るセキュリティリスク分析装置1は、開発対象データシステムに対して仮想された複数のハードウェア構成のそれぞれに対して実施の形態1と同様の動作を行って、ハードウェア構成単位の最適化対策リストを得る。
また、本実施の形態では、最適化実行部204が、ハードウェア構成単位の最適化対策リストを一覧表示するようにしてもよい。
A configuration example of the security
However, in the present embodiment, the
In addition, the
Further, the
In addition, the
Then, the
That is, the security
Further, in the present embodiment, the
なお、以下では、主に実施の形態1との差異を説明する。
以下で説明していない事項は実施の形態1と同様である。
In the following, differences from the first embodiment will be mainly described.
Matters not described below are the same as those in the first embodiment.
図15は、実施の形態4に係る処理を示したフローチャートである。
以下では、図15を用いて、実施の形態4に係るセキュリティリスク分析装置の動作を説明する。
FIG. 15 is a flowchart showing processing according to the fourth embodiment.
Hereinafter, the operation of the security risk analysis apparatus according to the fourth embodiment will be described with reference to FIG.
ステップS2101からS2104は、実施の形態1における処理を示したフローチャート(図11)と同じ動作であり、それらの詳細については実施の形態1で説明したとおりである。
S2104では、分析の最終的な出力結果として最適化実行部204が生成した最適化対策リスト3を表示装置に表示する。
ここでユーザが予め設定した期待するリスク値の要件を満たすような最適解が最適化対策リスト上に存在することが判定されると処理は終了となる。
ここで終了する場合には、実施の形態1と同一の処理となる。
Steps S2101 to S2104 are the same operations as those in the flowchart (FIG. 11) showing the processing in the first embodiment, and the details thereof are as described in the first embodiment.
In S2104, the
If it is determined that an optimal solution that satisfies the risk value requirement set by the user in advance exists on the optimization countermeasure list, the process ends.
When the process ends here, the process is the same as in the first embodiment.
ユーザが期待するリスク値は入力装置から入力されるので、コンフィギュレーションデータに保存されている。
S2106で抽出を行いさらにS2107で判定を行うために、リスクの期待値をコンフィギュレーションデータから読み込む。
S2107で判定の結果、リスクを所望の値まで下げることができるような最適解を見つけることができない場合、もしくは制約条件が障害となって最適解が決定しないことが判明した場合などには、更なる検討を継続して実行する必要があるとして、S2109へ進む。
Since the risk value expected by the user is input from the input device, it is stored in the configuration data.
In order to perform extraction in S2106 and to make a determination in S2107, the expected risk value is read from the configuration data.
If the result of determination in S2107 is that an optimal solution that can reduce the risk to the desired value cannot be found, or if it is found that the optimal solution cannot be determined due to a constraint condition, etc. Since it is necessary to continue this examination, the process proceeds to S2109.
最適解がないという場合のみ継続的に評価を行うことのみならず、更に最適な実装方法の可能性を見極めるために制約条件を変えての追加評価を行いたいこともある。
従って、S2108で処理を終了するか継続するかの判断を入力装置を通して行うことで、最適解が存在する場合であっても終了せずに、S2109へ進み、追加評価を実施することが可能である。
In addition to continuous evaluation only when there is no optimal solution, there are also cases where additional evaluation is performed by changing the constraint conditions in order to determine the possibility of an optimal mounting method.
Therefore, by determining whether or not to end the process in S2108 through the input device, it is possible to proceed to S2109 and perform additional evaluation without ending even if there is an optimal solution. is there.
ステップS2109では、コンフィギュレーションデータの内容を変更するために、入力装置から入力を行う。
例えば、ユーザは、メモリ容量の増減、CPUの選択、CPUの動作周波数の増減、コプロセッサの有無、などについて変更を行うことができる。
このようにして開発対象データシステムの仮想的なハードウェア構成が設定される。
このとき、コンフィギュレーションデータは上書きされずに、一部が変更されたコンフィギュレーションデータが別のファイルとして新たに生成され保存される。
In step S2109, input is performed from the input device in order to change the contents of the configuration data.
For example, the user can change the memory capacity increase / decrease, CPU selection, CPU operating frequency increase / decrease, coprocessor presence / absence, and the like.
In this way, the virtual hardware configuration of the development target data system is set.
At this time, the configuration data is not overwritten, but the configuration data partially changed is generated and saved as a separate file.
ハードウェアの条件を変えながらステップS2102〜S2109を繰り返してセキュリティリスク分析装置1において分析を実施することで、繰り返しの回数(N)分のアウトプットとしてN個の最適化対策リスト(1、2、〜N)を得る。
つまり、N個の仮想的なハードウェア構成に対してステップS2102〜S2109を繰り返すことで、N個の最適化対策リストを得ることができる。
By repeating steps S2102 to S2109 and performing analysis in the security
That is, N optimization countermeasure lists can be obtained by repeating steps S2102 to S2109 for N virtual hardware configurations.
なお、得られたN個の最適化対策リストのそれぞれを独立に精査することも可能であるが、全ての結果(N個の最適化対策リスト)から総合的に判断が出来るようにすることも可能である。
つまり、最適化実行部204が、N個の最適化対策リストを一覧表示するようにしてもよい。
コンフィギュレーションデータの変更内容に対応する最適化対策リストの一覧表示の例を図16に示す。
Each of the obtained N optimization countermeasure lists can be examined independently, but it is also possible to make a comprehensive judgment from all the results (N optimization countermeasure lists). Is possible.
That is, the
An example of a list display of the optimization countermeasure list corresponding to the change contents of the configuration data is shown in FIG.
図16は、図15のS2105で得られる一覧である、複数の最適化対策リストを合成した複合最適化対策リストの詳細例を示す。
複合最適化対策リストには、図7の最適化リストに含まれる対策組合せ、脅威ID、実装方法、実装影響値(ROM、RAM、時間、リスク)の他に、コンフィギュレーションID、コンフィギュレーション内容、およびコストを示す数値が含まれる。
FIG. 16 shows a detailed example of a composite optimization countermeasure list that is a list obtained in S2105 of FIG. 15 and is a combination of a plurality of optimization countermeasure lists.
In the composite optimization countermeasure list, in addition to the countermeasure combination, threat ID, mounting method, and mounting influence value (ROM, RAM, time, risk) included in the optimization list of FIG. And a number indicating the cost.
図16において、コンフィギュレーションID:2は、ID:1と比べてCPUの周波数が2倍という条件に変更したため、処理性能が高くなり、処理に要する時間を短くすることができると判断したことを示している。
さらに、ID:3では、暗号コプロセッサを搭載することにより、脅威ID:T003そのものが存在しなくなるとともに、ソフトウェアのプログラムが不要になるためにROM使用量が削減され、処理に要する時間を大幅に短縮を実現できる一方で、コストは他より数倍も高くなると判断したことを示している。
In FIG. 16, since the configuration ID: 2 has been changed to a condition that the CPU frequency is twice that of ID: 1, it is determined that the processing performance is improved and the time required for the processing can be shortened. Show.
Furthermore, with the ID: 3, by installing the cryptographic coprocessor, the threat ID: T003 itself does not exist, and since the software program becomes unnecessary, the amount of ROM used is reduced, and the processing time is greatly increased. This shows that while it was possible to achieve a reduction, the cost was determined to be several times higher than others.
なお、S2105で出力する複合最適化対策リスト(図16)に関して、複数の結果に対して同時に分析する際に、出力結果が多過ぎる場合には、条件として設定(例えばリスク値、メモリ使用量の上限値)し、その条件に合わないものは除外して表示される候補を絞るといった操作が可能である。
このような操作により、開発するターゲットでは、安全性、コスト、性能のうちどれを最も重視するのか優先順位を考慮したうえで、最適な解を判別しやすくすることができる。
また、図16について、図7の出力方法と同様に、表だけとは限らずリソースの増減とリスク増減の関係をグラフィカルに出力可能である。
Regarding the composite optimization countermeasure list (FIG. 16) output in S2105, when analyzing a plurality of results simultaneously, if there are too many output results, conditions (for example, risk value, memory usage amount) are set. It is possible to perform operations such as narrowing the candidates to be displayed by excluding those that do not meet the conditions.
By such an operation, it is possible to easily determine an optimal solution in the target to be developed in consideration of the priority of which safety, cost, or performance is most important.
In addition, as in the output method of FIG. 7, the relationship between the increase / decrease in resources and the increase / decrease in risk can be graphically output for FIG.
このようにして、開発対象データシステムの搭載メモリ容量、CPUスペック等を仮想的に変更し、再度あるいは繰り返しセキュリティリスク分析装置にて分析を行うことができる。 そのため、本実施の形態では、セキュリティ対策を実装した開発対象データシステムを実現するための方法について、ハードウェアとソフトウェアの両面からより詳細に検討する場合、制約条件を変化させながら最適な実装方法を幅広く調べることができる。 In this way, it is possible to virtually change the mounted memory capacity, CPU specifications, etc. of the development target data system and perform the analysis again or repeatedly with the security risk analysis device. Therefore, in this embodiment, when considering the method for realizing the development target data system with security measures implemented in more detail from both the hardware and software perspectives, the optimal implementation method while changing the constraints You can investigate a wide range.
以上、本発明の実施の形態について説明したが、これらの実施の形態のうち、2つ以上を組み合わせて実施しても構わない。
あるいは、これらの実施の形態のうち、1つを部分的に実施しても構わない。
あるいは、これらの実施の形態のうち、2つ以上を部分的に組み合わせて実施しても構わない。
なお、本発明は、これらの実施の形態に限定されるものではなく、必要に応じて種々の変更が可能である。
As mentioned above, although embodiment of this invention was described, you may implement in combination of 2 or more among these embodiment.
Alternatively, one of these embodiments may be partially implemented.
Alternatively, two or more of these embodiments may be partially combined.
In addition, this invention is not limited to these embodiment, A various change is possible as needed.
1 セキュリティリスク分析装置、2 コンフィギュレーションデータ、3 最適化対策リスト、4 実装、101 CPU、102 RAM、103 ROM、104 ハードディスク、105 表示ディスプレイ、106 キーボード、107 マウス、108 通信ボード、109 内部バス、112 開発対象データシステム、113 CPU、114 コプロセッサ、115 RAM、116 ROM、117 通信ボード、118 内部バス、119 外部バス、120 ソフトウェア開発環境、121 エミュレータ、122 ホストマシン、123 統合開発環境、124 開発ツール、125 ビルドツール、126 デバッグツール、127 内部バス、128 外部バス、129 外部バス、130 ソフトウェア開発環境、131 エミュレータ、132 ホストマシン、133 統合開発環境、134 開発ツール、135 ビルドツール、136 デバッグツール、137 セキュリティリスク分析ツール、201 制約条件抽出部、202 リスク分析部、203 対策解析部、204 最適化実行部、205 制約条件リスト記憶部、206 対象脅威リスト記憶部、207 対策候補リスト記憶部、208 最適化対策リスト記憶部、209 脅威データベース、210 実装データベース。
1 Security risk analysis device, 2 configuration data, 3 optimization countermeasure list, 4 implementation, 101 CPU, 102 RAM, 103 ROM, 104 hard disk, 105 display, 106 keyboard, 107 mouse, 108 communication board, 109 internal bus, 112 Development target data system, 113 CPU, 114 coprocessor, 115 RAM, 116 ROM, 117 communication board, 118 internal bus, 119 external bus, 120 software development environment, 121 emulator, 122 host machine, 123 integrated development environment, 124 development Tool, 125 Build tool, 126 Debug tool, 127 Internal bus, 128 External bus, 129 External bus, 130 Software development environment, 131 emulator , 132 Host machine, 133 Integrated development environment, 134 Development tool, 135 Build tool, 136 Debug tool, 137 Security risk analysis tool, 201 Restriction condition extraction unit, 202 Risk analysis unit, 203 Countermeasure analysis unit, 204
Claims (14)
セキュリティに関する複数の脅威が定義されるとともに、脅威ごとに、1つ以上のセキュリティ対策が定義されるセキュリティ対策情報を記憶するセキュリティ対策情報記憶部と、
前記セキュリティ対策情報で定義されている前記複数の脅威のうち、前記開発対象データシステムで対処すべき脅威を対象脅威として複数特定する対象脅威特定部と、
対象脅威ごとに、前記セキュリティ対策情報で定義されているセキュリティ対策を抽出するセキュリティ対策抽出部と、
前記セキュリティ対策抽出部により抽出されたセキュリティ対策を組み合わせて複数の対象脅威に対するセキュリティ対策の組合せパターンを生成し、組合せパターンごとに、組合せパターンに含まれるセキュリティ対策の組合せによって生じる効果を解析して当該セキュリティ対策の組合せが実装された場合の前記開発対象データシステムへの影響を表す実装影響値を算出し、算出した実装影響値に基づき、特定の組合せパターンを選択する組合せパターン選択部とを有することを特徴とする情報処理装置。 An information processing apparatus that supports the implementation of security measures in a development target data system,
A security countermeasure information storage unit that stores a plurality of security threats and stores security countermeasure information in which one or more security countermeasures are defined for each threat;
Among the plurality of threats defined in the security countermeasure information, a target threat identifying unit that identifies a plurality of threats to be dealt with by the development target data system as target threats;
A security measure extraction unit that extracts security measures defined in the security measure information for each target threat;
A security countermeasure combination pattern for a plurality of target threats is generated by combining the security countermeasures extracted by the security countermeasure extraction unit, and the effect generated by the combination of security countermeasures included in the combination pattern is analyzed for each combination pattern. A combination pattern selection unit that calculates an implementation influence value that represents an influence on the development target data system when a combination of security measures is implemented, and selects a specific combination pattern based on the calculated implementation influence value; An information processing apparatus characterized by the above.
対象脅威ごとに、前記セキュリティ対策情報で定義されているセキュリティ対策を抽出するとともに、抽出したセキュリティ対策が単独で実装された場合の前記開発対象データシステムへの影響を表す実装影響値を算出し、
前記組合せパターン選択部は、
組合せパターンごとに、前記セキュリティ対策抽出部により算出されたセキュリティ対策の単独の実装影響値と、セキュリティ対策の組合せによって生じる効果の解析結果とに基づき、当該セキュリティ対策の組合せが実装された場合の前記開発対象データシステムへの影響を表す実装影響値を算出することを特徴とする請求項1に記載の情報処理装置。 The security countermeasure extraction unit
For each target threat, extract the security measures defined in the security countermeasure information, calculate the implementation impact value that represents the impact on the development target data system when the extracted security measures are implemented alone,
The combination pattern selection unit includes:
For each combination pattern, based on the single implementation impact value of the security measure calculated by the security measure extraction unit and the analysis result of the effect produced by the combination of the security measures, the combination of the security measures is implemented. The information processing apparatus according to claim 1, wherein a mounting influence value representing an influence on a development target data system is calculated.
前記開発対象データシステムのハードウェア構成及びソフトウェア構成が定義されるコンフィギュレーションデータを解析して、前記開発対象データシステムで許容される実装影響値の条件を実装影響値条件として導出する実装影響値条件導出部を有し、
前記組合せパターン選択部は、
前記実装影響値条件に合致する実装影響値の組合せパターンを選択することを特徴とする請求項1に記載の情報処理装置。 The information processing apparatus further includes:
Implementation impact value condition for analyzing the configuration data defining the hardware configuration and software configuration of the development target data system and deriving the implementation impact value condition allowed in the development target data system as the implementation impact value condition Having a derivation unit,
The combination pattern selection unit includes:
The information processing apparatus according to claim 1, wherein a combination pattern of mounting influence values that matches the mounting influence value condition is selected.
前記実装影響値として、セキュリティ対策の組合せが実装された場合の前記開発対象データシステムでのメモリ使用量を表す値、セキュリティ対策の組合せが実装された場合の前記開発対象データシステムでの処理時間のオーバーヘッドを表す値、セキュリティ対策の組合せが実装された場合の脅威に対する前記開発対象データシステムの脆弱性を表す値の少なくともいずれかを算出することを特徴とする請求項1に記載の情報処理装置。 The combination pattern selection unit includes:
As the implementation influence value, a value indicating the memory usage in the development target data system when the combination of security measures is implemented, and the processing time in the development target data system when the combination of security measures is implemented. The information processing apparatus according to claim 1, wherein at least one of a value representing overhead and a value representing vulnerability of the development target data system to a threat when a combination of security measures is implemented is calculated.
抽出したセキュリティ対策ごとに、前記実装影響値として、当該セキュリティ対策が単独で実装された場合の前記開発対象データシステムでのメモリ使用量を表す値、当該セキュリティ対策が単独で実装された場合の前記開発対象データシステムでの処理時間のオーバーヘッドを表す値、当該セキュリティ対策が単独で実装された場合の脅威に対する前記開発対象データシステムの脆弱性を表す値の少なくともいずれかを算出することを特徴とする請求項2に記載の情報処理装置。 The security countermeasure extraction unit
For each extracted security measure, as the implementation impact value, a value representing the memory usage in the development target data system when the security measure is implemented alone, the value when the security measure is implemented alone Calculating at least one of a value representing a processing time overhead in the development target data system and a value representing a vulnerability of the development target data system with respect to a threat when the security measure is implemented alone; The information processing apparatus according to claim 2.
セキュリティ対策ごとに、セキュリティ対策が単独で実装された場合の実装影響値を算出するためのパラメータが定義されているセキュリティ対策情報を記憶しており、
前記セキュリティ対策抽出部は、
抽出したセキュリティ対策ごとに、前記セキュリティ対策情報に定義されているパラメータを用いて、セキュリティ対策が単独で実装された場合の実装影響値を算出することを特徴とする請求項2に記載の情報処理装置。 The security countermeasure information storage unit
For each security measure, it stores the security measure information that defines the parameters for calculating the implementation impact value when the security measure is implemented alone.
The security countermeasure extraction unit
The information processing method according to claim 2, wherein, for each extracted security measure, an implementation influence value when the security measure is independently implemented is calculated using a parameter defined in the security measure information. apparatus.
前記開発対象データシステムのハードウェア構成及びソフトウェア構成が定義されるコンフィギュレーションデータを解析して、対象脅威を特定することを特徴とする請求項1に記載の情報処理装置。 The target threat identification unit
The information processing apparatus according to claim 1, wherein the target threat is identified by analyzing configuration data defining a hardware configuration and a software configuration of the development target data system.
選択した組合せパターンを表示装置に表示することを特徴とする請求項1に記載の情報処理装置。 The combination pattern selection unit includes:
The information processing apparatus according to claim 1, wherein the selected combination pattern is displayed on a display device.
前記開発対象データシステムの開発が行われる開発装置と接続されていることを特徴とする請求項1に記載の情報処理装置。 The information processing apparatus includes:
The information processing apparatus according to claim 1, wherein the information processing apparatus is connected to a development apparatus that develops the development target data system.
前記開発対象データシステムの開発が行われる開発装置に含まれることを特徴とする請求項1に記載の情報処理装置。 The information processing apparatus includes:
The information processing apparatus according to claim 1, wherein the information processing apparatus is included in a development apparatus that develops the development target data system.
セキュリティに関する複数の脅威が定義されるとともに、脅威ごとに、1つ以上のセキュリティ対策が定義されるセキュリティ対策情報を記憶するコンピュータに、
前記セキュリティ対策情報で定義されている前記複数の脅威のうち、前記開発対象データシステムで対処すべき脅威を対象脅威として複数特定する対象脅威特定処理と、
対象脅威ごとに、前記セキュリティ対策情報で定義されているセキュリティ対策を抽出するセキュリティ対策抽出処理と、
前記セキュリティ対策抽出処理により抽出されたセキュリティ対策を組み合わせて複数の対象脅威に対するセキュリティ対策の組合せパターンを生成し、組合せパターンごとに、組合せパターンに含まれるセキュリティ対策の組合せによって生じる効果を解析して当該セキュリティ対策の組合せが実装された場合の前記開発対象データシステムへの影響を表す実装影響値を算出し、算出した実装影響値に基づき、特定の組合せパターンを選択する組合せパターン選択処理とを実行させることを特徴とするプログラム。 A computer that supports the implementation of security measures in the development target data system,
A computer that stores security countermeasure information in which a plurality of threats related to security are defined and one or more security countermeasures are defined for each threat.
Target threat identification processing for identifying a plurality of threats to be dealt with by the development target data system as target threats among the plurality of threats defined in the security countermeasure information;
Security measure extraction processing for extracting security measures defined in the security measure information for each target threat,
A security countermeasure combination pattern for a plurality of target threats is generated by combining the security countermeasures extracted by the security countermeasure extraction process, and the effect generated by the combination of security countermeasures included in the combination pattern is analyzed for each combination pattern. An implementation impact value representing the impact on the development target data system when a combination of security measures is implemented is calculated, and a combination pattern selection process for selecting a specific combination pattern is executed based on the computed implementation impact value A program characterized by that.
前記開発対象データシステムに仮想された複数のハードウェア構成について、ハードウェア構成の単位で、対象脅威を特定し、
前記セキュリティ対策抽出部は、
ハードウェア構成の単位で、対象脅威ごとに、前記セキュリティ対策情報で定義されているセキュリティ対策を抽出し、
前記組合せパターン選択部は、
ハードウェア構成の単位で、前記セキュリティ対策抽出部により抽出されたセキュリティ対策を組み合わせて複数の対象脅威に対するセキュリティ対策の組合せパターンを生成し、組合せパターンごとに、組合せパターンに含まれるセキュリティ対策の組合せによって生じる効果を解析して当該セキュリティ対策の組合せが実装された場合の前記開発対象データシステムへの影響を表す実装影響値を算出し、算出した実装影響値に基づき、特定の組合せパターンを選択するとを有することを特徴とする請求項1に記載の情報処理装置。 The target threat identification unit
For a plurality of hardware configurations virtualized in the development target data system, identify the target threat in units of hardware configuration,
The security countermeasure extraction unit
For each target threat, extract the security measures defined in the security measure information in units of hardware configuration,
The combination pattern selection unit includes:
A security countermeasure combination pattern for a plurality of target threats is generated by combining the security countermeasures extracted by the security countermeasure extraction unit in a unit of hardware configuration, and for each combination pattern, a combination of security countermeasures included in the combination pattern Analyzing the resulting effects, calculating the implementation impact value that represents the impact on the development target data system when the security countermeasure combination is implemented, and selecting a specific combination pattern based on the calculated implementation impact value The information processing apparatus according to claim 1, further comprising:
ハードウェア構成の単位で、対象脅威ごとに、前記セキュリティ対策情報で定義されているセキュリティ対策を抽出するとともに、抽出したセキュリティ対策が単独で実装された場合の前記開発対象データシステムへの影響を表す実装影響値を算出し、
前記組合せパターン選択部は、
ハードウェア構成の単位で、組合せパターンごとに、前記セキュリティ対策抽出部により算出されたセキュリティ対策の単独の実装影響値と、セキュリティ対策の組合せによって生じる効果の解析結果とに基づき、当該セキュリティ対策の組合せが実装された場合の前記開発対象データシステムへの影響を表す実装影響値を算出することを特徴とする請求項12に記載の情報処理装置。 The security countermeasure extraction unit
The security measures defined in the security countermeasure information are extracted for each target threat in units of hardware configuration, and the impact on the development target data system when the extracted security countermeasures are implemented alone is expressed. Calculate the implementation impact value,
The combination pattern selection unit includes:
A combination of security measures based on a single implementation impact value of the security measures calculated by the security measure extraction unit and an analysis result of the effects produced by the combination of security measures, for each combination pattern in hardware configuration units. The information processing apparatus according to claim 12, wherein a mounting influence value representing an influence on the development target data system when is mounted is calculated.
2以上のハードウェア構成の実装値影響値を一覧表示することを特徴とする請求項13に記載の情報処理装置。 The combination pattern selection unit includes:
The information processing apparatus according to claim 13, wherein a list of mounting value influence values of two or more hardware configurations is displayed.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014233898A JP2015130152A (en) | 2013-12-06 | 2014-11-18 | Information processing device and program |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013252688 | 2013-12-06 | ||
| JP2013252688 | 2013-12-06 | ||
| JP2014233898A JP2015130152A (en) | 2013-12-06 | 2014-11-18 | Information processing device and program |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2015130152A true JP2015130152A (en) | 2015-07-16 |
Family
ID=53760805
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014233898A Pending JP2015130152A (en) | 2013-12-06 | 2014-11-18 | Information processing device and program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2015130152A (en) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6081038B1 (en) * | 2016-06-01 | 2017-02-15 | 三菱電機株式会社 | Security management device, central security management device, security management method, and security management program |
| WO2017039136A1 (en) * | 2015-08-28 | 2017-03-09 | (주)엔키소프트 | System for analyzing attack action for vulnerable point of source code-based software |
| WO2017069020A1 (en) * | 2015-10-19 | 2017-04-27 | 日本電気株式会社 | Information-processing device, security management system, security countermeasure presentation method, security information delivery method, and program |
| JP2018045327A (en) * | 2016-09-12 | 2018-03-22 | 株式会社日立アドバンストシステムズ | Security device |
| JP2021144268A (en) * | 2020-03-10 | 2021-09-24 | 株式会社東芝 | Information processing device and program |
| JP2022089573A (en) * | 2020-12-04 | 2022-06-16 | 株式会社東芝 | Information processing apparatus, information processing method, and program |
| WO2024079972A1 (en) * | 2022-10-11 | 2024-04-18 | 株式会社日立製作所 | Cyber attack countermeasure assistance system, cyber attack countermeasure assistance method, and cyber attack countermeasure assistance program |
-
2014
- 2014-11-18 JP JP2014233898A patent/JP2015130152A/en active Pending
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017039136A1 (en) * | 2015-08-28 | 2017-03-09 | (주)엔키소프트 | System for analyzing attack action for vulnerable point of source code-based software |
| JP2020184372A (en) * | 2015-10-19 | 2020-11-12 | 日本電気株式会社 | Information processing apparatus, security information distribution method, and program |
| WO2017069020A1 (en) * | 2015-10-19 | 2017-04-27 | 日本電気株式会社 | Information-processing device, security management system, security countermeasure presentation method, security information delivery method, and program |
| JPWO2017069020A1 (en) * | 2015-10-19 | 2018-08-09 | 日本電気株式会社 | Information processing apparatus, security management system, security countermeasure presentation method, and program |
| US10699019B2 (en) | 2015-10-19 | 2020-06-30 | Nec Corporation | Information processing apparatus, security management system, security measure providing method, security information distribution method, and program |
| JP6081038B1 (en) * | 2016-06-01 | 2017-02-15 | 三菱電機株式会社 | Security management device, central security management device, security management method, and security management program |
| JP2018045327A (en) * | 2016-09-12 | 2018-03-22 | 株式会社日立アドバンストシステムズ | Security device |
| JP2021144268A (en) * | 2020-03-10 | 2021-09-24 | 株式会社東芝 | Information processing device and program |
| JP7258801B2 (en) | 2020-03-10 | 2023-04-17 | 株式会社東芝 | Information processing device, information processing method and program |
| US11722511B2 (en) | 2020-03-10 | 2023-08-08 | Kabushiki Kaisha Toshiba | Information processing device and non-transitory computer readable storage medium |
| JP2022089573A (en) * | 2020-12-04 | 2022-06-16 | 株式会社東芝 | Information processing apparatus, information processing method, and program |
| JP7427577B2 (en) | 2020-12-04 | 2024-02-05 | 株式会社東芝 | Information processing device, information processing method and program |
| WO2024079972A1 (en) * | 2022-10-11 | 2024-04-18 | 株式会社日立製作所 | Cyber attack countermeasure assistance system, cyber attack countermeasure assistance method, and cyber attack countermeasure assistance program |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2015130152A (en) | Information processing device and program | |
| US10586053B2 (en) | Method for automatically detecting security vulnerability based on hybrid fuzzing, and apparatus thereof | |
| JP5458184B2 (en) | System and method for aggressive automatic correction in a dynamic function call system | |
| US8850581B2 (en) | Identification of malware detection signature candidate code | |
| JP6047463B2 (en) | Evaluation apparatus and method for evaluating security threats | |
| JP5564034B2 (en) | Anti-tamper system using automatic analysis | |
| CN105068932A (en) | Android application program packing detection method | |
| KR20160046640A (en) | Apparaus and method for detecting malcious application based on visualization similarity | |
| US9658834B2 (en) | Program visualization device, program visualization method, and program visualization program | |
| Colombo et al. | poly Larva: runtime verification with configurable resource-aware monitoring boundaries | |
| KR101423030B1 (en) | Method of analysis application object which computer-executable, server performing the same and storage media storing the same | |
| Kannavara et al. | Challenges and opportunities with concolic testing | |
| KR20120093564A (en) | Method and apparatus for categorizing and analyzing malicious code using vector calculation | |
| JPWO2018134909A1 (en) | Information processing apparatus, information processing method, and information processing program | |
| US11816479B2 (en) | System and method for implementing a code audit tool | |
| CN109840416A (en) | Malicious code behavior automatic analysis system | |
| JP2016099857A (en) | Fraudulent program handling system and fraudulent program handling method | |
| US8412744B2 (en) | Visualization of runtime analysis across dynamic boundaries | |
| CN108874656A (en) | Code test method, device, readable storage medium storing program for executing and computer equipment | |
| Ji et al. | Effuzz: Efficient fuzzing by directed search for smart contracts | |
| CN106709335B (en) | Vulnerability detection method and device | |
| JP5441043B2 (en) | Program, information processing apparatus, and information processing method | |
| CN111177720A (en) | Method, device and readable storage medium for generating threat intelligence based on big data | |
| KR102110735B1 (en) | Method and system for re-generating binary for vulnerability detection | |
| US20160077950A1 (en) | Methods, circuits, apparatus, systems and associated software modules for evaluating code behavior |