JP2019211947A - 脆弱性評価装置 - Google Patents
脆弱性評価装置 Download PDFInfo
- Publication number
- JP2019211947A JP2019211947A JP2018106764A JP2018106764A JP2019211947A JP 2019211947 A JP2019211947 A JP 2019211947A JP 2018106764 A JP2018106764 A JP 2018106764A JP 2018106764 A JP2018106764 A JP 2018106764A JP 2019211947 A JP2019211947 A JP 2019211947A
- Authority
- JP
- Japan
- Prior art keywords
- input
- asset
- state
- protection state
- model
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000011156 evaluation Methods 0.000 title claims abstract description 17
- 238000013461 design Methods 0.000 claims abstract description 94
- 230000007704 transition Effects 0.000 claims description 26
- 238000010586 diagram Methods 0.000 claims description 21
- 230000006870 function Effects 0.000 description 33
- 238000004364 calculation method Methods 0.000 description 7
- 238000004519 manufacturing process Methods 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 4
- 238000000034 method Methods 0.000 description 3
- 238000001514 detection method Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 1
- 238000012905 input function Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/3604—Software analysis for verifying properties of programs
- G06F11/3608—Software analysis for verifying properties of programs using formal methods, e.g. model checking, abstract interpretation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
- G06Q10/063—Operations research, analysis or management
- G06Q10/0639—Performance analysis of employees; Performance analysis of enterprise or organisation operations
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q40/00—Finance; Insurance; Tax strategies; Processing of corporate or income taxes
- G06Q40/12—Accounting
- G06Q40/125—Finance or payroll
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/12—Protecting executable software
- G06F21/121—Restricting unauthorised execution of programs
- G06F21/125—Restricting unauthorised execution of programs by manipulating the program code, e.g. source code, compiled code, interpreted code, machine code
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Business, Economics & Management (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Human Resources & Organizations (AREA)
- Accounting & Taxation (AREA)
- Finance (AREA)
- Development Economics (AREA)
- Economics (AREA)
- Bioethics (AREA)
- Strategic Management (AREA)
- Computing Systems (AREA)
- Marketing (AREA)
- Entrepreneurship & Innovation (AREA)
- Quality & Reliability (AREA)
- Educational Administration (AREA)
- General Business, Economics & Management (AREA)
- Virology (AREA)
- Mathematical Physics (AREA)
- Game Theory and Decision Science (AREA)
- Operations Research (AREA)
- Databases & Information Systems (AREA)
- Tourism & Hospitality (AREA)
- Medical Informatics (AREA)
- Technology Law (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Stored Programmes (AREA)
Abstract
Description
メッセージを受信し、パスワード認証し、正しければデータの書換えをして成功メッセージを送信する。メッセージ受信は繰り返す。
(保護資産例)
書換えデータ
(保護状態例)
正しい「書換えデータ」を「データ書換え」機能によって書き込むこと
・メッセージを受信する機能
・パスワードを認証する機能
・データ書換え機能
・成功メッセージ送信機能
・開始後、メッセージを受信する機能に遷移する。
・メッセージを受信する機能を実行後に、パスワード認証をする機能を動作させる。
・パスワード認証に成功した後に、データ書換え機能を実施する。
・パスワード認証に失敗した後に、メッセージ受信する機能に戻る。
・データ書換え機能を実行後に、成功メッセージ送信機能に戻る。
・成功メッセージ送信機能を実行後に、メッセージを受信する機能を動作させる。
・メッセージ受信待ち状態
・パスワード認証状態
・データ書換え状態
・メッセージ送信状態
・「開始後」に、「メッセージ受信待ち状態」に遷移する。
・「メッセージ受信待ち状態」でメッセージを受信した際に、「パスワード認証状態」に遷移する。
・「パスワード認証状態」で、パスワードが一致した際に、「データ書換え状態」に遷移する。
・「パスワード認証状態」で、パスワードが一致しない際に、「メッセージ受信待ち状態」に遷移する。
・「データ書換え状態」で、データの書換えが完了した際に、「メッセージ受信待ち状態」に遷移する。
・「メッセージ送信状態」で、メッセージ送信完了した際に、「メッセージ受信待ち状態」に遷移する。
・アドレスを持つ
・書換えデータを持つ
・パスワードを持つ
21 仕様入力部
22 出力部
23 資産入力部
24 設計モデル入力部
31 設計モデル生成部
32 保護状態モデル生成部
41 演算部(判定部)
42 入力生成部
Claims (6)
- コンピュータが内蔵された製品の設計仕様が入力される仕様入力部と、
前記仕様入力部により入力された設計仕様に基づいて前記製品の動作及び前記製品で用いられるデータを示す設計モデルを生成する設計モデル生成部と、
前記製品の保護資産、及び、当該保護資産の保護状態を入力する資産入力部と、
前記設計モデル生成部により生成された設計モデルから前記資産入力部により入力された前記保護資産に関連する動作部分を抽出した保護状態モデルを生成する保護状態モデル生成部と、
前記保護状態モデルから前記保護資産の保護状態を侵害する状態にあるか否かを判定する判定部と、を備えたことを特徴とする脆弱性評価装置。 - コンピュータが内蔵された製品の動作及び前記製品で用いられるデータを示す設計モデルが入力される設計モデル入力部と、
前記製品の保護資産、及び、当該保護資産の保護状態を入力する資産入力部と、
前記設計モデル入力部により入力された設計モデルから前記資産入力部により入力された前記保護資産に関連する動作部分を抽出した保護状態モデルを生成する保護状態モデル生成部と、
前記保護状態モデルから前記保護資産の保護状態を侵害する状態にあるか否かを判定する判定部と、を備えたことを特徴とする脆弱性評価装置。 - 前記判定部により前記保護資産の保護状態を侵害する状態にあると判定された場合、前記保護資産の保護状態を侵害する状態に至るような前記製品への入力を生成する入力生成部をさらに備えたことを特徴とする請求項1又は2に記載の脆弱性評価装置。
- 前記設計モデルを出力する出力部をさらに有し、
前記資産入力部は、前記出力部に出力された設計モデルが示す前記製品の動作及び前記製品で用いられるデータの中から前記保護資産を選択して入力できるようにしていることを特徴とする請求項1〜3何れか1項に記載の脆弱性評価装置。 - 前記資産入力部は、前記出力部に出力された設計モデルが示す動作の中から前記保護状態に影響を与える動作を選択して入力でき、選択された動作が行われた結果、前記保護資産がどのような状態であれば保護されているかを保護状態として入力できるようにしていることを特徴とする請求項4に記載の脆弱性評価装置。
- 前記設計モデルは、動作フロー又は状態遷移図から構成され、
前記保護状態モデル生成部は、前記動作フロー又は前記状態遷移図のうち、初期状態から前記資産入力部により選択された動作に至るまでを保護状態モデルとして生成し、
前記判定部は、抽出した前記保護状態モデルから前記保護資産の保護状態を逸脱する状態があれば前記保護状態を侵害する状態にあると判定することを特徴とする請求項4に記載の脆弱性評価装置。
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018106764A JP6962867B2 (ja) | 2018-06-04 | 2018-06-04 | 脆弱性評価装置 |
US16/397,164 US20190370474A1 (en) | 2018-06-04 | 2019-04-29 | Vulnerability evaluating apparatus |
EP19172430.1A EP3579133A1 (en) | 2018-06-04 | 2019-05-03 | Software security vulnerability evaluating apparatus |
CN201910376073.3A CN110618919A (zh) | 2018-06-04 | 2019-05-07 | 脆弱性评估装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018106764A JP6962867B2 (ja) | 2018-06-04 | 2018-06-04 | 脆弱性評価装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019211947A true JP2019211947A (ja) | 2019-12-12 |
JP6962867B2 JP6962867B2 (ja) | 2021-11-05 |
Family
ID=66397074
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018106764A Active JP6962867B2 (ja) | 2018-06-04 | 2018-06-04 | 脆弱性評価装置 |
Country Status (4)
Country | Link |
---|---|
US (1) | US20190370474A1 (ja) |
EP (1) | EP3579133A1 (ja) |
JP (1) | JP6962867B2 (ja) |
CN (1) | CN110618919A (ja) |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004070561A (ja) * | 2002-08-05 | 2004-03-04 | Funai Electric Co Ltd | デバッグ装置 |
JP2007265089A (ja) * | 2006-03-29 | 2007-10-11 | Fujitsu Ltd | ソフトウェア保守支援プログラム,処理方法および装置 |
JP2009075886A (ja) * | 2007-09-20 | 2009-04-09 | Ntt Data Corp | 仕様欠陥検証システム、その方法及びプログラム |
JP2011048560A (ja) * | 2009-08-26 | 2011-03-10 | Toshiba Corp | セキュリティ設計支援装置及びプログラム |
JP2011180850A (ja) * | 2010-03-02 | 2011-09-15 | Mitsubishi Electric Corp | モデル生成装置、モデル生成方法およびモデル生成プログラム |
JP2012128727A (ja) * | 2010-12-16 | 2012-07-05 | Toyota Infotechnology Center Co Ltd | ソフトウェアコンポーネントの信頼性評価方法および装置 |
JP2017033562A (ja) * | 2015-08-05 | 2017-02-09 | ゼネラル・エレクトリック・カンパニイ | 安全重視ソフトウェア開発のためのモデルベース技術および過程のためのシステムおよび方法 |
JP2017068825A (ja) * | 2015-09-29 | 2017-04-06 | パナソニックIpマネジメント株式会社 | ソフトウェア開発システムおよびプログラム |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002157221A (ja) | 2000-11-20 | 2002-05-31 | Nec Fielding Ltd | セキュリティ脆弱点の対策設定自動化システム |
CA2522605C (en) | 2003-04-18 | 2014-12-09 | Ounce Labs, Inc. | Method and system for detecting vulnerabilities in source code |
-
2018
- 2018-06-04 JP JP2018106764A patent/JP6962867B2/ja active Active
-
2019
- 2019-04-29 US US16/397,164 patent/US20190370474A1/en not_active Abandoned
- 2019-05-03 EP EP19172430.1A patent/EP3579133A1/en not_active Withdrawn
- 2019-05-07 CN CN201910376073.3A patent/CN110618919A/zh not_active Withdrawn
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004070561A (ja) * | 2002-08-05 | 2004-03-04 | Funai Electric Co Ltd | デバッグ装置 |
JP2007265089A (ja) * | 2006-03-29 | 2007-10-11 | Fujitsu Ltd | ソフトウェア保守支援プログラム,処理方法および装置 |
JP2009075886A (ja) * | 2007-09-20 | 2009-04-09 | Ntt Data Corp | 仕様欠陥検証システム、その方法及びプログラム |
JP2011048560A (ja) * | 2009-08-26 | 2011-03-10 | Toshiba Corp | セキュリティ設計支援装置及びプログラム |
JP2011180850A (ja) * | 2010-03-02 | 2011-09-15 | Mitsubishi Electric Corp | モデル生成装置、モデル生成方法およびモデル生成プログラム |
JP2012128727A (ja) * | 2010-12-16 | 2012-07-05 | Toyota Infotechnology Center Co Ltd | ソフトウェアコンポーネントの信頼性評価方法および装置 |
JP2017033562A (ja) * | 2015-08-05 | 2017-02-09 | ゼネラル・エレクトリック・カンパニイ | 安全重視ソフトウェア開発のためのモデルベース技術および過程のためのシステムおよび方法 |
JP2017068825A (ja) * | 2015-09-29 | 2017-04-06 | パナソニックIpマネジメント株式会社 | ソフトウェア開発システムおよびプログラム |
Also Published As
Publication number | Publication date |
---|---|
CN110618919A (zh) | 2019-12-27 |
JP6962867B2 (ja) | 2021-11-05 |
US20190370474A1 (en) | 2019-12-05 |
EP3579133A1 (en) | 2019-12-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9692778B1 (en) | Method and system to prioritize vulnerabilities based on contextual correlation | |
US20230351084A1 (en) | Using line-of-code behavior and relation models to anticipate impact of hardware changes | |
US9372785B2 (en) | Identifying implicit assumptions associated with a software product | |
US9692599B1 (en) | Security module endorsement | |
WO2015025694A1 (ja) | セキュリティ上の脅威を評価する評価装置及びその方法 | |
JP5868529B2 (ja) | フォームに関係する検証 | |
JPWO2006087780A1 (ja) | 脆弱性監査プログラム、脆弱性監査装置、脆弱性監査方法 | |
CN111259399A (zh) | 用于web应用的动态检测漏洞攻击的方法及系统 | |
JP5176478B2 (ja) | データフロー解析装置、データフロー解析方法およびデータフロー解析プログラム | |
JP2015130152A (ja) | 情報処理装置及びプログラム | |
Angermeier et al. | Modeling security risk assessments | |
JP2011134306A (ja) | 電子設備及びそれに使用するパスワード保護方法 | |
CN110955897A (zh) | 基于大数据的软件研发安全管控可视化方法及系统 | |
JP5077455B2 (ja) | 脆弱性監査プログラム、脆弱性監査装置、脆弱性監査方法 | |
JP6962867B2 (ja) | 脆弱性評価装置 | |
JP5316485B2 (ja) | ソフトウェア開発支援装置、ソフトウェア開発支援方法およびソフトウェア開発支援プログラム | |
CN114500347B (zh) | 一种对安全互联协议进行形式化验证的方法和系统 | |
Lloyd et al. | Security analysis of a biometric authentication system using UMLsec and JML | |
JP7008879B2 (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
Biondi et al. | Security and privacy of protocols and software with formal methods | |
Zhioua et al. | Framework for the formal specification and verification of security guidelines | |
Seng et al. | Automating penetration testing within an ambiguous testing environment | |
Wang et al. | Vulnerability evaluation method for E-commerce transaction systems with unobservable transitions | |
JP2004272830A (ja) | ソフトウェア開発支援装置 | |
JP2010244139A (ja) | 対策網羅性検査装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190819 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200728 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20201013 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20201207 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210608 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210709 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20211012 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20211014 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6962867 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |