JP6584737B1 - Threat identification device, threat identification method, and threat identification program - Google Patents
Threat identification device, threat identification method, and threat identification program Download PDFInfo
- Publication number
- JP6584737B1 JP6584737B1 JP2019537849A JP2019537849A JP6584737B1 JP 6584737 B1 JP6584737 B1 JP 6584737B1 JP 2019537849 A JP2019537849 A JP 2019537849A JP 2019537849 A JP2019537849 A JP 2019537849A JP 6584737 B1 JP6584737 B1 JP 6584737B1
- Authority
- JP
- Japan
- Prior art keywords
- threat
- interaction
- design model
- indicated
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Stored Programmes (AREA)
- Debugging And Monitoring (AREA)
Abstract
発生個所特定部(22)は、システムを構成する構成要素間の相互作用を示す概要設計モデル(31)と、脅威が発生する可能性のある構成要素を示す脅威情報(32)とに基づき、システムを構成する構成要素において脅威が発生する可能性がある相互作用を特定する。詳細特定部(23)は、概要設計モデル(31)が示す相互作用を実現する処理を示す詳細設計モデル(33〜35)に基づき、発生個所特定部(22)によって特定された相互作用を実現する処理を特定する。The occurrence location specifying unit (22) is based on the outline design model (31) indicating the interaction between the components constituting the system, and the threat information (32) indicating the components that may cause a threat. Identify interactions that can cause threats in the components that make up the system. The detail specifying unit (23) realizes the interaction specified by the occurrence location specifying unit (22) based on the detailed design model (33 to 35) indicating processing for realizing the interaction indicated by the outline design model (31). Specify the process to be performed.
Description
この発明は、システムにおいて脅威が発生する可能性がある処理を特定する技術に関する。 The present invention relates to a technique for identifying a process that may cause a threat in a system.
ソフトウェアシステムの開発プロセスでは、ソフトウェア機能を実現するための構成及び動作が徐々に詳細化される。セキュリティに関連する工程も同様であり、システムの要求分析といった抽象的な設計を行う開発フェーズの上流工程では、脅威分析及びリスク分析等という分析を行うことにより、開発対象のシステムに悪影響を及ぼす脅威を洗い出す。そして、詳細な設計を行う開発フェーズの下流工程では、システムの構成及び動作が具体化されると、洗い出した脅威に繋がる攻撃に利用される脆弱性が存在しないかが分析される。この際、必要に応じて脆弱性を防ぐためにセキュリティ機能の追加といった設計変更が行われる。
このような取組みにおいて、詳細化された設計の情報を確認して、脅威が実際に起こりえるかを分析するには、脅威に繋がるような攻撃方法とその攻撃方法に利用される脆弱性に関する知識が必要である。さらに開発するシステムで詳細な仕組みを把握する必要がある。そのため、作業負荷が高いという課題がある。In the software system development process, the configuration and operation for realizing software functions are gradually refined. The same is true for security-related processes. In the upstream phase of the development phase where abstract design such as system requirements analysis is performed, threats that adversely affect the development target system by performing analysis such as threat analysis and risk analysis. Wash out. Then, in the downstream process of the development phase in which detailed design is performed, when the configuration and operation of the system are materialized, it is analyzed whether there is a vulnerability used for an attack that leads to the identified threat. At this time, a design change such as addition of a security function is performed in order to prevent vulnerability as necessary.
In such an effort, in order to confirm detailed design information and analyze whether a threat can actually occur, knowledge about the attack method that leads to the threat and the vulnerability used in the attack method is required. Furthermore, it is necessary to grasp the detailed mechanism in the system to be developed. Therefore, there is a problem that the work load is high.
特許文献1には、システムの機能を実現するための構成要素(文献中では「アーキテクチャ」)に依存したセキュリティ要求仕様の詳細化を容易にするための設計支援技術が記載されている。この技術では、機能を実現する構成要素の種別情報と、保護資産に対して発生する脅威情報とが入力される。そして、事前に用意した種別情報と攻撃方法との組み合わせの一覧と、脅威と攻撃方法との組み合わせの一覧とを用いて、入力された構成要素の種別に関係する攻撃方法と、入力された脅威情報に関係する攻撃方法とを抽出する。次に、抽出された攻撃方法が互いに一致する場合には入力された脅威情報を出力し、一致しない場合は出力しない。これにより、開発フェーズの上流工程において、洗い出された脅威情報が発生するか否かの判定を容易にしている。 Patent Document 1 describes a design support technology for facilitating the detailed specification of security requirements depending on components (in the literature, “architecture”) for realizing the functions of the system. In this technique, type information of a component that realizes a function and threat information generated for a protected asset are input. Then, using the list of combinations of type information and attack methods prepared in advance and the list of combinations of threats and attack methods, the attack method related to the type of the input component and the input threat Extract attack methods related to information. Next, when the extracted attack methods match each other, the input threat information is output, and when they do not match, they are not output. This facilitates determination of whether or not the identified threat information is generated in the upstream process of the development phase.
特許文献1に記載された技術は、機能を実現する構成要素の種類によって攻撃方法を特定することにより、発生し得る脅威を絞り込んでいく。このため、詳細化されたシステムのどの処理に脅威が発生し得るかを特定することができない。
この発明は、詳細化された設計情報が示すどの処理に脅威が発生する可能性があるかを特定可能にすることを目的とする。The technique described in Patent Document 1 narrows down threats that can be generated by specifying an attack method according to the type of component that realizes a function. For this reason, it is impossible to specify in which processing of the detailed system a threat may occur.
An object of the present invention is to make it possible to specify which process indicated by detailed design information can cause a threat.
この発明に係る脅威特定装置は、
システムを構成する構成要素間の相互作用を示す概要設計モデルと、脅威が発生する可能性のある構成要素を示す脅威情報とに基づき、前記システムを構成する構成要素において脅威が発生する可能性がある相互作用を特定する発生個所特定部と、
前記概要設計モデルが示す相互作用を実現する処理を示す詳細設計モデルに基づき、前記発生個所特定部によって特定された相互作用を実現する処理を特定する詳細特定部と
を備える。A threat identification device according to the present invention includes:
Based on the outline design model indicating the interaction between the components constituting the system and the threat information indicating the component that may cause the threat, there is a possibility that the threat is generated in the component constituting the system. An occurrence location identifying part that identifies an interaction;
A detail specifying unit for specifying a process for realizing the interaction specified by the occurrence location specifying unit based on a detailed design model indicating a process for realizing the interaction indicated by the general design model.
この発明では、概要設計モデルが示す相互作用において、脅威が発生する可能性がある相互作用が特定され、詳細設計モデルにおいて、特定された相互作用に対応する処理が特定される。これにより、脅威が発生する可能性がある処理を特定可能である。 In the present invention, an interaction that may cause a threat is specified in the interaction indicated by the outline design model, and a process corresponding to the specified interaction is specified in the detailed design model. As a result, it is possible to identify a process that may cause a threat.
実施の形態1.
***構成の説明***
図1を参照して、実施の形態1に係る脅威特定装置10の構成を説明する。
脅威特定装置10は、コンピュータである。
脅威特定装置10は、プロセッサ11と、メモリ12と、ストレージ13と、通信インタフェース14とのハードウェアを備える。プロセッサ11は、信号線を介して他のハードウェアと接続され、これら他のハードウェアを制御する。Embodiment 1 FIG.
*** Explanation of configuration ***
With reference to FIG. 1, the structure of the
The
The
プロセッサ11は、プロセッシングを行うIC(Integrated Circuit)である。プロセッサ11は、具体例としては、CPU(Central Processing Unit)、DSP(Digital Signal Processor)、GPU(Graphics Processing Unit)である。 The processor 11 is an IC (Integrated Circuit) that performs processing. The processor 11 is a CPU (Central Processing Unit), a DSP (Digital Signal Processor), or a GPU (Graphics Processing Unit) as specific examples.
メモリ12は、データを一時的に記憶する記憶装置である。メモリ12は、具体例としては、SRAM(Static Random Access Memory)、DRAM(Dynamic Random Access Memory)である。
The
ストレージ13は、データを保管する記憶装置である。ストレージ13は、具体例としては、HDD(Hard Disk Drive)である。また、ストレージ13は、SD(登録商標,Secure Digital)メモリカード、CF(CompactFlash,登録商標)、NANDフラッシュ、フレキシブルディスク、光ディスク、コンパクトディスク、ブルーレイ(登録商標)ディスク、DVD(Digital Versatile Disk)といった可搬記録媒体であってもよい。
The
通信インタフェース14は、外部の装置と通信するためのインタフェースである。通信インタフェース14は、具体例としては、Ethernet(登録商標)、USB(Universal Serial Bus)、HDMI(登録商標,High−Definition Multimedia Interface)のポートである。
The
脅威特定装置10は、機能構成要素として、受付部21と、発生個所特定部22と、詳細特定部23と、成立判定部24とを備える。脅威特定装置10の各機能構成要素の機能はソフトウェアにより実現される。
ストレージ13には、脅威特定装置10の各機能構成要素の機能を実現するプログラムが格納されている。このプログラムは、プロセッサ11によりメモリ12に読み込まれ、プロセッサ11によって実行される。これにより、脅威特定装置10の各機能構成要素の機能が実現される。The
The
図1では、プロセッサ11は、1つだけ示されている。しかし、プロセッサ11は、複数であってもよく、複数のプロセッサ11が、各機能を実現するプログラムを連携して実行してもよい。 In FIG. 1, only one processor 11 is shown. However, a plurality of processors 11 may be provided, and a plurality of processors 11 may execute programs that realize each function in cooperation with each other.
***動作の説明***
図2から図11を参照して、実施の形態1に係る脅威特定装置10の動作を説明する。
実施の形態1に係る脅威特定装置10の動作は、実施の形態1に係る脅威特定方法に相当する。また、実施の形態1に係る脅威特定装置10の動作は、実施の形態1に係る脅威特定プログラムの処理に相当する。*** Explanation of operation ***
The operation of the
The operation of the
(図2のステップS1:受付処理)
受付部21は、概要設計モデル31と、脅威情報32と、詳細設計モデル33〜35との入力を受け付ける。
具体的には、通信インタフェース14を介して接続された入力装置が利用者によって操作され、概要設計モデル31と、脅威情報32と、詳細設計モデル33〜35とが入力される。受付部21は、通信インタフェース14を介して、入力された概要設計モデル31と、脅威情報32と、詳細設計モデル33〜35とを受け付ける。受付部21は、概要設計モデル31と、脅威情報32と、詳細設計モデル33〜35とをメモリ12に書き込む。(Step S1: reception process in FIG. 2)
The accepting
Specifically, the input device connected via the
図3を参照して、概要設計モデル31を説明する。
概要設計モデル31は、開発するプログラムを含むシステムの抽象的な仕様を表す情報である。概要設計モデル31は、システムを構成する複数の構成要素と、構成要素間の接続関係と、システムが提供する各機能における構成要素間の相互作用とを示す。
具体例としては、図3に示すように、概要設計モデル31は、UML(Unified Modeling Language)のシーケンス図のようにシステムの構成要素間のメッセージ交換といった相互作用の情報を含んでいる。図3において、相互作用を表す接続線は、各構成要素間でやり取りされる通信データと、プログラム呼び出しといった相互作用を表す有向線である。図3において、接続線として矢印が用いられており、矢印の方向は手順又はデータの流れを表している。The
The
As a specific example, as shown in FIG. 3, the
図4を参照して、脅威情報32を説明する。
脅威情報32は、概要設計モデル31によって表されるシステムで発生し得る脅威毎に、その脅威が発生する可能性のある構成要素及び要因を示す。
具体例としては、図4に示すように、脅威情報32は、表形式で表されるデータである。脅威情報32は、脅威の説明と、情報資産と、脅威の要因とを含んでいる。脅威の説明は、システムに悪影響を与える脅威がどのようなものかの説明である。情報資産は、脅威の発生に関係するデータである。脅威の要因は、情報資産に何が発生した際に脅威に至るかを示す。The
The
As a specific example, as shown in FIG. 4, the
図5から図10を参照して、詳細設計モデル33〜35を説明する。
詳細設計モデル33〜35は、概要設計モデル31に含まれる開発するプログラムの具体的な仕様を表す情報である。詳細設計モデル33〜35は、概要設計モデルが示す相互作用を実現する処理と、その処理で使用されるデータの定義を示す。詳細設計モデル33〜35は、性質の異なる3つのタイプの情報である。
具体例としては、図5から図10に示す通りである。The detailed design models 33 to 35 will be described with reference to FIGS.
The detailed design models 33 to 35 are information representing specific specifications of a program to be developed included in the
Specific examples are as shown in FIGS.
図5に示すように、詳細設計モデル33は、UMLのシーケンス図のようにシステムの構成要素間のメッセージ交換といった相互作用の情報を含んでいる。このシーケンス図は、概要設計モデル31のシーケンス図に対応しており、メッセージ交換して行われるソフトウェアの内部処理の処理名称と、メッセージとして流れるデータとを示す。ソフトウェアの内部処理とデータの定義とは、別の詳細設計モデル34,35に含まれている。
As shown in FIG. 5, the detailed design model 33 includes interaction information such as message exchange between system components as in a UML sequence diagram. This sequence diagram corresponds to the sequence diagram of the
図6に示すように、詳細設計モデル34は、UMLのクラス図で記述される情報を含む。同様に、図7から図10に示すように、詳細設計モデル35は、UMLのクラス図で記述される情報を含む。詳細設計モデル34,35は、シーケンス図のメッセージとソフトウェアの内部処理とで使われるデータの構造を示す。
詳細設計モデル34,35には、例えば、データの構造として、メッセージに含まれるデータ要素の型が指定されている。なお、セキュリティに関連する型は事前に定義されており、モデルにはその型が含まれて設計される。例えば、詳細設計モデル34では、UserAuthRequestメッセージのメンバとしてデータ要素が定義されており、passwordメンバは、データの型としてPasswordが指定されている。Password型は事前定義されたPASSWORD型を参照している。
後述する処理において、成立判定部24は、この情報を参照することにより、UserAuthRequestのpassswordメンバを、ユーザ認証を行うためのパスワードとして利用していることを特定する。また、成立判定部24は、Password型の定義によりその最低長が8文字であることも特定する。As shown in FIG. 6, the
In the
In the process to be described later, the
概要設計モデル31と、詳細設計モデル33〜35は、階層的な構造を表現することが可能なデータ形式で記述される。例えば、概要設計モデル31と、詳細設計モデル33〜35は、XML(Extensible Markup Language)とJSON(JavaScript Object Notation)といったデータ形式で記述される。
The
(図2のステップS2:発生個所特定処理)
発生個所特定部22は、ステップS1で受け付けられた概要設計モデル31と脅威情報32とに基づき、システムを構成する構成要素において脅威が発生する可能性がある相互作用を特定する。相互作用とは、図5に示すシーケンス図においてオブジェクト間を結ぶメッセージと、そのメッセージの両端に存在する送受信のオブジェクトとの組である。(Step S2 in FIG. 2: occurrence location specifying process)
The occurrence
具体的には、発生個所特定部22は、概要設計モデル31と脅威情報32とをメモリ12から読み出す。発生個所特定部22は、概要設計モデル31が示す相互作用のうち、脅威情報32が示す情報資産を用いた相互作用を特定することにより、脅威が発生する可能性がある相互作用を特定する。例えば、発生個所特定部22は、図3に示す概要設計モデル31から、図4の脅威情報32が示す情報資産であるStopコマンドを用いる相互作用を特定する。すると、HMIから2番目にメッセージが送信される相互作用(Stopコマンドが送信される相互作用)が特定される。
また、発生個所特定部22は、概要設計モデル31が示す相互作用のうち、脅威情報32が示す脅威の要因に相当する相互作用を特定することにより、脅威が発生する可能性がある相互作用を特定する。例えば、発生個所特定部22は、図3に示す概要設計モデル31から、図4の脅威情報32が示す脅威の要因である未承認の送信メッセージに相当する相互作用を特定する。すると、HMIから1番目にメッセージが送信される相互作用(ユーザ認証要求が送信される相互作用)が特定される。ここで、脅威の要因からどのメッセージが関連するかの推測は、事前に作成されたルールに基づいて行われてもよいし、発生個所特定部22に設定されたロジックにより行われてもよい。
発生個所特定部22は、特定された相互作用を、その相互作用に対して発生する可能性がある脅威とともにメモリ12に書き込む。Specifically, the occurrence
Further, the occurrence
The occurrence
(図2のステップS3:詳細特定処理)
詳細特定部23は、概要設計モデル31が示す相互作用を実現する処理を示す詳細設計モデル33〜35に基づき、ステップS2で特定された相互作用を実現する処理を特定する。つまり、詳細特定部23は、ステップS2で特定された相互作用に対応する詳細設計モデル33〜35の対応箇所を特定する。(Step S3 in FIG. 2: Detailed identification processing)
The
具体的には、詳細特定部23は、ステップS2で特定された相互作用と、その相互作用に対して発生する可能性がある脅威とをメモリ12から読み出す。また、詳細特定部23は、概要設計モデル31と、詳細設計モデル33〜35とをメモリ12から読み出す。詳細特定部23は、相互作用に割り当てられた識別子等に基づき、詳細設計モデル33の対応箇所を特定する。例えば、詳細特定部23は、図3におけるStopコマンドから応答までの処理が、図5におけるCommand(Stop)からCommandResponseであることを特定する。また、詳細特定部23は、図3におけるユーザ認証要求からOKの処理が、図5におけるUserAuthRequestからUserAuthResponseで表されていることを特定する。
詳細特定部23は、特定された詳細設計モデル33における対応箇所に対応する、詳細設計モデル34,35における対応箇所を特定する。これは、詳細設計モデル33における対応箇所の名称から容易に特定できる。
対応箇所に対応する相互作用に対して発生する可能性がある脅威を、対応箇所に対応する脅威とする。詳細特定部23は、特定された対応箇所を、その対応箇所に対応する脅威とともにメモリ12に書き込む。Specifically, the
The
A threat that may occur with respect to an interaction corresponding to a corresponding location is defined as a threat corresponding to the corresponding location. The
成立判定部24は、ステップS3で特定された各対応箇所の処理を対象として、ステップS4からステップS6の処理を実行する。
The
(図2のステップS4:成立判定処理)
成立判定部24は、脅威の要因毎にその脅威が成立するか否かの判定条件を示す検査ルールに基づき、対象の対応箇所の処理で脅威が成立するか否かを判定する。検査ルールは、ストレージ13に事前に記憶されている。(Step S4 in FIG. 2: establishment determination process)
The
具体的には、成立判定部24は、検査ルールをストレージ13からから読み出す。また、成立判定部24は、対象の対応箇所と、対象の対応箇所に対応する脅威とをメモリ12から読み出す。成立判定部24は、脅威情報32を参照して、対応箇所に対応する脅威の要因を特定する。成立判定部24は、対象の対応箇所に対応する脅威の要因について検査ルールが示す判定条件を、対象の対応箇所が満たすか否かを判定する。
例えば、図11に示すような検査ルールが読み出されたとする。図4に示すように、ステップS23で特定された対応箇所に対応する脅威の要因は、未認証の送信メッセージである。図11に示す検査ルールでは、脅威の要因が未認証の送信メッセージの場合には、攻撃方法としてユーザ認証なし/バイパスと、セッション/認証情報の推測との2つの攻撃についての判定条件が存在している。したがって、成立判定部24は、各対応箇所を対象として、図11に示す2つの判定条件それぞれを、対象の対応箇所が満たすか否かを判定する。図11では、判定条件は、攻撃が不成立になる条件を示している。Specifically, the
For example, assume that an inspection rule as shown in FIG. 11 is read. As shown in FIG. 4, the threat factor corresponding to the corresponding location identified in step S23 is an unauthenticated transmission message. In the inspection rule shown in FIG. 11, when the threat factor is an unauthenticated transmission message, there are two determination conditions for attacks, ie, no user authentication / bypass and session / authentication information guessing as attack methods. ing. Therefore, the
ユーザ認証なし/バイパス攻撃については、攻撃が不成立になる条件として、(A1)又は(A2)が示されている。(A1)メッセージに含まれるPASSWORD型データの比較するユーザ認証処理が行われている。(A2)ユーザ認証処理で払い出されたSESSIONID型のデータがメッセージに含まれている。 For the user authentication no / bypass attack, (A1) or (A2) is shown as a condition that the attack is not established. (A1) User authentication processing for comparing the PASSWORD type data included in the message is performed. (A2) SESSIONID type data paid out in the user authentication process is included in the message.
1つ目の対応箇所である、図5におけるUserAuthRequestからUserAuthResponseについては、以下のように判定される。
UserAuthRequestからUserAuthResponseでは、UserAuth()が行われている。図7に示すUserAuth()のアクティビティ図では、UserCheck()の引数として、PASSWORD型のデータ形式を継承したPassword型の引数passwordが入力されている。そして、GetUserPassword()で取得した情報との比較がなされている。よって、成立判定部24は、この処理では、攻撃が不成立になる条件(A1)を満たしており、ユーザ認証なし/バイパス攻撃が成立しないと判定する。The first corresponding location, UserAuthRequest to UserAuthResponse in FIG. 5, is determined as follows.
UserAuth () is performed from UserAuthRequest to UserAuthResponse. In the activity diagram of UserAuth () shown in FIG. 7, a Password type argument password that inherits the PASSWORD type data format is input as an argument of UserCheck (). And the comparison with the information acquired by GetUserPassword () is made. Therefore, the
2つ目の対応箇所である、図5におけるCommand(Stop)からCommandResponseについては、以下のように判定される。
Command(Stop)からCommandResponseでは、図6及び図10に示すように、sessionidというデータが含まれており、このデータはPowerControl()の引数として含まれている。この引数の値は、PowerControl()のアクティビティ図のisValidID()の引数として利用されている。isValidID()の結果がTrueの場合に、フィールド装置に影響を及ぼすSetPower()が呼び出されている。つまり、sessionid引数の値がSetPower()の実行に影響を与える。ここで、Stopコマンドの送信の前に、PASSWORD型のデータを比較した結果で払い出される値が返されている。この状況からsessionidには、PASSWORD型のデータが継承されていると認められる。よって、成立判定部24は、この処理では、攻撃が不成立になる条件(A2)を満たしており、ユーザ認証なし/バイパス攻撃が成立しないと判定する。The second corresponding location, Command (Stop) to Command Response in FIG. 5, is determined as follows.
From Command (Stop) to Command Response, as shown in FIGS. 6 and 10, data called sessionid is included, and this data is included as an argument of PowerControl (). The value of this argument is used as an argument of isValidID () in the activity diagram of PowerControl (). When the result of isValidID () is True, SetPower () that affects the field device is called. That is, the value of the sessionid argument affects the execution of SetPower (). Here, before sending the Stop command, a value to be paid out is returned as a result of comparing the PASSWORD type data. From this situation, it is recognized that the sessionid data is inherited in the sessionid. Therefore, the
セッション/認証情報の推測攻撃については、攻撃が不成立になる条件として、(B1)セッションIDが乱数又はパスワードの長さが8以上であることが示されている。
図8CreateSessionId()のアクティビティ図と、図9に示すSendTcpData()のアクティビティ図とから、セッションIDにIDをハッシュした値が使われており、RANDOM型のデータが使われていないことが特定される。よって、成立判定部24は、いずれの対応箇所についても、セッション/認証情報の推測攻撃が成立すると判定する。For the session / authentication information guessing attack, it is indicated that (B1) the session ID is a random number or the length of the password is 8 or more as a condition that the attack is not established.
From the activity diagram of CreateSessionId () in FIG. 8 and the activity diagram of SendTcpData () shown in FIG. . Therefore, the
(ステップS5:分岐処理)
成立判定部24は、ステップS4で攻撃が成立すると判定された場合には、処理をステップS6に進める。一方、成立判定部24は、ステップS4で攻撃が成立しないと判定された場合には、ステップS6をスキップする。(Step S5: Branch processing)
The
(ステップS6:出力処理)
成立判定部24は、対象の対応箇所の処理と、対応箇所に対応する脅威に関する情報とを出力する。
具体的には、成立判定部24は、通信インタフェース14を介して、対象の対応箇所の処理と、対応箇所に対応する脅威に関する情報とを表示装置等に表示する。成立判定部24は、例えば、詳細設計モデル33〜35に、対応箇所を明示して表示してもよい。(Step S6: Output process)
The
Specifically, the
なお、ここでは、攻撃が成立すると判定された場合のみ、対応箇所等が出力された。しかし、攻撃が成立しない場合であっても、対応箇所等を出力してもよい。この際、攻撃が成立すると判定されたか否かについても合わせて出力してもよい。 Here, only when it is determined that an attack has been established, the corresponding location is output. However, even if the attack is not established, a corresponding location or the like may be output. At this time, whether or not it is determined that an attack is established may also be output.
***実施の形態1の効果***
以上のように、実施の形態1に係る脅威特定装置10は、概要設計モデルが示す相互作用において、脅威が発生する可能性がある相互作用が特定され、詳細設計モデルにおいて、特定された相互作用に対応する処理が特定される。これにより、脅威が発生する可能性がある処理を特定可能である。システムの脆弱性がある処理を特定することにより、システムのセキュリティに関する設計を容易にすることができる。*** Effects of Embodiment 1 ***
As described above, in the
また、実施の形態1に係る脅威特定装置10は、特定された処理で脅威が成立するか否かを判定する。これにより、精度よく脆弱性の有無を判定することができる。
Further, the
***他の構成***
<変形例1>
脅威情報32は、構成要素間の関係を示す複数のユースケースのうち、脅威毎にその脅威が発生するユースケースを示してもよい。例えば、予め構成要素間の関係を示す複数のユースケースが用意されており、脅威情報32は、脅威毎にその脅威が発生するユースケースの識別子を示している。
この場合には、発生個所特定部22は、概要設計モデル31が示す構成要素間の相互作用のうち、脅威情報32が示すユースケースに相当する相互作用を特定することにより、脅威が発生する可能性がある相互作用を特定する。*** Other configurations ***
<Modification 1>
The
In this case, the occurrence
<変形例2>
実施の形態1では、各機能構成要素がソフトウェアで実現された。しかし、変形例2として、各機能構成要素はハードウェアで実現されてもよい。この変形例2について、実施の形態1と異なる点を説明する。<
In the first embodiment, each functional component is realized by software. However, as
図12を参照して、変形例2に係る脅威特定装置10の構成を説明する。
各機能構成要素がハードウェアで実現される場合には、脅威特定装置10は、プロセッサ11とメモリ12とストレージ13とに代えて、電子回路15を備える。電子回路15は、各機能構成要素と、メモリ12と、ストレージ13との機能とを実現する専用の回路である。With reference to FIG. 12, the structure of the
When each functional component is realized by hardware, the
電子回路15としては、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ロジックIC、GA(Gate Array)、ASIC(Application Specific Integrated Circuit)、FPGA(Field−Programmable Gate Array)が想定される。
各機能構成要素を1つの電子回路15で実現してもよいし、各機能構成要素を複数の電子回路15に分散させて実現してもよい。Examples of the
Each functional component may be realized by one
<変形例3>
変形例3として、一部の各機能構成要素がハードウェアで実現され、他の各機能構成要素がソフトウェアで実現されてもよい。<
As a third modification, some of the functional components may be realized by hardware, and other functional components may be realized by software.
プロセッサ11とメモリ12とストレージ13と電子回路15とを処理回路という。つまり、各機能構成要素の機能は、処理回路により実現される。
The processor 11, the
10 脅威特定装置、11 プロセッサ、12 メモリ、13 ストレージ、14 通信インタフェース、15 電子回路、21 受付部、22 発生個所特定部、23 詳細特定部、24 成立判定部、31 概要設計モデル、32 脅威情報、33 詳細設計モデル、34 詳細設計モデル、35 詳細設計モデル。
DESCRIPTION OF
Claims (8)
前記概要設計モデルが示す相互作用を実現する処理を示す詳細設計モデルに基づき、前記発生個所特定部によって特定された相互作用を実現する処理を特定する詳細特定部と
を備える脅威特定装置。Based on the outline design model indicating the interaction between the components constituting the system and the threat information indicating the component that may cause the threat, there is a possibility that the threat is generated in the component constituting the system. An occurrence location identifying part that identifies an interaction;
A threat identification device comprising: a detail identification unit that identifies a process that realizes an interaction identified by the occurrence location identification unit based on a detailed design model that represents a process that realizes an interaction indicated by the outline design model.
前記発生個所特定部は、前記概要設計モデルが示す相互作用のうち、前記脅威情報が示す情報資産を用いた相互作用を特定することにより、脅威が発生する可能性がある相互作用を特定する
を備える請求項1に記載の脅威特定装置。The threat information indicates an information asset in which the threat occurs for each threat,
The occurrence location specifying unit specifies an interaction that may cause a threat by specifying an interaction using an information asset indicated by the threat information among the interactions indicated by the outline design model. The threat identification device according to claim 1, comprising:
前記発生個所特定部は、前記概要設計モデルが示す相互作用のうち、前記脅威情報が示す要因に相当する相互作用を特定することにより、脅威が発生する可能性がある相互作用を特定する
を備える請求項1又は2に記載の脅威特定装置。The threat information indicates a factor that causes the threat for each threat,
The occurrence location identifying unit includes identifying an interaction that may cause a threat by identifying an interaction corresponding to a factor indicated by the threat information among the interactions indicated by the outline design model. The threat identification device according to claim 1 or 2.
前記発生個所特定部は、前記概要設計モデルが示す構成要素間の相互作用のうち、前記脅威情報が示すユースケースに相当する相互作用を特定することにより、脅威が発生する可能性がある相互作用を特定する
を備える請求項1から3までのいずれか1項に記載の脅威特定装置。The threat information indicates a use case in which the threat occurs for each threat among a plurality of use cases indicating the relationship between the constituent elements,
The occurrence location identifying unit is an interaction that may generate a threat by identifying an interaction corresponding to a use case indicated by the threat information among interactions between components indicated by the outline design model. The threat identification device according to any one of claims 1 to 3, further comprising:
脅威の要因毎にその脅威が成立するか否かの判定条件を示す検査ルールに基づき、前記詳細特定部によって特定された処理で脅威が成立するか否かを判定する成立判定部
を備える請求項1から4までのいずれか1項に記載の脅威特定装置。The threat identification device further includes:
An establishment determination unit that determines whether a threat is established by the process specified by the detailed identification unit based on an inspection rule indicating a determination condition as to whether or not the threat is established for each threat factor. 5. The threat identification device according to any one of 1 to 4.
前記詳細設計モデルは、処理で使用されるデータの仕様を示し、
前記成立判定部は、前記検査ルールが示す判定条件を前記詳細設計モデルが示すデータの仕様が満たすか否かにより、前記詳細特定部によって特定された処理で脅威が成立するか否かを判定する
請求項5に記載の脅威特定装置。The inspection rule indicates the determination condition based on data used in processing,
The detailed design model indicates the specifications of data used in processing,
The establishment determination unit determines whether or not a threat is established in the process specified by the detail specification unit, based on whether or not the data specification indicated by the detailed design model satisfies the determination condition indicated by the inspection rule. The threat identification device according to claim 5.
詳細特定部が、前記概要設計モデルが示す相互作用を実現する処理を示す詳細設計モデルに基づき、前記発生個所特定部によって特定された相互作用を実現する処理を特定する脅威特定方法。Based on the outline design model in which the occurrence location identifying unit indicates the interaction between the components constituting the system and the threat information indicating the components that may cause the threat, the threat in the components constituting the system Identify interactions that may occur,
A threat identification method in which a detailed identification unit identifies a process for realizing an interaction identified by the occurrence location identification unit based on a detailed design model indicating a process for realizing an interaction indicated by the outline design model.
前記概要設計モデルが示す相互作用を実現する処理を示す詳細設計モデルに基づき、前記発生個所特定部によって特定された相互作用を実現する処理を特定する詳細特定部と
をコンピュータに実行させる脅威特定プログラム。Based on the outline design model indicating the interaction between the components constituting the system and the threat information indicating the component that may cause the threat, there is a possibility that the threat is generated in the component constituting the system. An occurrence location identifying part that identifies an interaction;
A threat identifying program that causes a computer to execute a detail identifying unit that identifies a process that realizes an interaction identified by the occurrence location identifying unit based on a detailed design model that represents a process that realizes the interaction indicated by the outline design model .
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2018/000661 WO2019138540A1 (en) | 2018-01-12 | 2018-01-12 | Threat identification device, threat identification method, and threat identification program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP6584737B1 true JP6584737B1 (en) | 2019-10-02 |
JPWO2019138540A1 JPWO2019138540A1 (en) | 2020-01-16 |
Family
ID=67219469
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019537849A Active JP6584737B1 (en) | 2018-01-12 | 2018-01-12 | Threat identification device, threat identification method, and threat identification program |
Country Status (3)
Country | Link |
---|---|
JP (1) | JP6584737B1 (en) |
TW (1) | TW201931188A (en) |
WO (1) | WO2019138540A1 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114528550B (en) * | 2022-03-03 | 2022-12-23 | 北京优天下科技股份有限公司 | Information processing method and system applied to E-commerce big data threat identification |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2011096162A1 (en) * | 2010-02-02 | 2011-08-11 | 日本電気株式会社 | Security analysis support system, method and program |
JP2016105233A (en) * | 2014-12-01 | 2016-06-09 | 三菱電機株式会社 | Threat analysis device and threat analysis method |
JP2017068825A (en) * | 2015-09-29 | 2017-04-06 | パナソニックIpマネジメント株式会社 | Software development system and program |
-
2018
- 2018-01-12 JP JP2019537849A patent/JP6584737B1/en active Active
- 2018-01-12 WO PCT/JP2018/000661 patent/WO2019138540A1/en active Application Filing
- 2018-04-13 TW TW107112730A patent/TW201931188A/en unknown
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2011096162A1 (en) * | 2010-02-02 | 2011-08-11 | 日本電気株式会社 | Security analysis support system, method and program |
JP2016105233A (en) * | 2014-12-01 | 2016-06-09 | 三菱電機株式会社 | Threat analysis device and threat analysis method |
JP2017068825A (en) * | 2015-09-29 | 2017-04-06 | パナソニックIpマネジメント株式会社 | Software development system and program |
Also Published As
Publication number | Publication date |
---|---|
JPWO2019138540A1 (en) | 2020-01-16 |
TW201931188A (en) | 2019-08-01 |
WO2019138540A1 (en) | 2019-07-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9104528B2 (en) | Controlling the release of private information using static flow analysis | |
JP6289778B2 (en) | Test case generation apparatus and test case generation program | |
US10630399B2 (en) | Testing distributed applications that have an established exchange in an advanced message queuing protocol (AMQP) message broker | |
US10049029B1 (en) | Networked multi-interface host debugger | |
CN111597120B (en) | Interface test apparatus, method, electronic device, and computer-readable storage medium | |
US10310956B2 (en) | Techniques for web service black box testing | |
WO2021057005A1 (en) | Method and device for publishing smart contract | |
JPWO2019224911A1 (en) | Installation location selection support device, installation location selection support method, and installation location selection support program | |
US9026612B2 (en) | Generating a custom parameter rule based on a comparison of a run-time value to a request URL | |
US20190303613A1 (en) | Cognitive api policy manager | |
JP6584737B1 (en) | Threat identification device, threat identification method, and threat identification program | |
US11301792B2 (en) | Cross domain integration in product lifecycle management | |
US9384120B2 (en) | Testing of transaction tracking software | |
US9384074B1 (en) | Redirecting service calls using endpoint overrides | |
CN115599401A (en) | Publishing method, device, equipment and medium of user-defined model | |
WO2018163274A1 (en) | Risk analysis device, risk analysis method and risk analysis program | |
JP6608569B1 (en) | Security design apparatus, security design method, and security design program | |
US9672138B1 (en) | Enabling communication between an application developer and an application tester | |
JP7008879B2 (en) | Information processing equipment, information processing methods and information processing programs | |
CN110648219B (en) | Method and device for standardizing input area of bank transaction system | |
JP6599053B1 (en) | Information processing apparatus, information processing method, and information processing program | |
JP7101750B2 (en) | Test support equipment, test support methods and test support programs | |
CN117112047B (en) | USB equipment management and control method, equipment and storage medium | |
US20240205018A1 (en) | Quantum safe digital signature service | |
CN113407434B (en) | Method and device for processing debug file |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190711 |
|
A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20190711 |
|
A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20190731 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190806 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190903 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6584737 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |