JP6962867B2 - 脆弱性評価装置 - Google Patents
脆弱性評価装置 Download PDFInfo
- Publication number
- JP6962867B2 JP6962867B2 JP2018106764A JP2018106764A JP6962867B2 JP 6962867 B2 JP6962867 B2 JP 6962867B2 JP 2018106764 A JP2018106764 A JP 2018106764A JP 2018106764 A JP2018106764 A JP 2018106764A JP 6962867 B2 JP6962867 B2 JP 6962867B2
- Authority
- JP
- Japan
- Prior art keywords
- state
- protected
- input
- asset
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000013461 design Methods 0.000 claims description 88
- 230000007704 transition Effects 0.000 claims description 26
- 238000010586 diagram Methods 0.000 claims description 21
- 238000011156 evaluation Methods 0.000 claims description 13
- 230000006870 function Effects 0.000 description 32
- 238000004364 calculation method Methods 0.000 description 11
- 230000005540 biological transmission Effects 0.000 description 3
- 239000000284 extract Substances 0.000 description 3
- 238000000034 method Methods 0.000 description 3
- 238000001514 detection method Methods 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 238000011019 functional design specification Methods 0.000 description 1
- 238000012905 input function Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/3604—Software analysis for verifying properties of programs
- G06F11/3608—Software analysis for verifying properties of programs using formal methods, e.g. model checking, abstract interpretation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
- G06Q10/063—Operations research, analysis or management
- G06Q10/0639—Performance analysis of employees; Performance analysis of enterprise or organisation operations
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q40/00—Finance; Insurance; Tax strategies; Processing of corporate or income taxes
- G06Q40/12—Accounting
- G06Q40/125—Finance or payroll
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/12—Protecting executable software
- G06F21/121—Restricting unauthorised execution of programs
- G06F21/125—Restricting unauthorised execution of programs by manipulating the program code, e.g. source code, compiled code, interpreted code, machine code
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Business, Economics & Management (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Human Resources & Organizations (AREA)
- Bioethics (AREA)
- Finance (AREA)
- Accounting & Taxation (AREA)
- Strategic Management (AREA)
- Development Economics (AREA)
- Economics (AREA)
- Computing Systems (AREA)
- General Business, Economics & Management (AREA)
- Educational Administration (AREA)
- Entrepreneurship & Innovation (AREA)
- Quality & Reliability (AREA)
- Marketing (AREA)
- Virology (AREA)
- Mathematical Physics (AREA)
- Tourism & Hospitality (AREA)
- Operations Research (AREA)
- Databases & Information Systems (AREA)
- Medical Informatics (AREA)
- Technology Law (AREA)
- Game Theory and Decision Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Stored Programmes (AREA)
Description
メッセージを受信し、パスワード認証し、正しければデータの書換えをして成功メッセージを送信する。メッセージ受信は繰り返す。
(保護資産例)
書換えデータ
(保護状態例)
正しい「書換えデータ」を「データ書換え」機能によって書き込むこと
・メッセージを受信する機能
・パスワードを認証する機能
・データ書換え機能
・成功メッセージ送信機能
・開始後、メッセージを受信する機能に遷移する。
・メッセージを受信する機能を実行後に、パスワード認証をする機能を動作させる。
・パスワード認証に成功した後に、データ書換え機能を実施する。
・パスワード認証に失敗した後に、メッセージ受信する機能に戻る。
・データ書換え機能を実行後に、成功メッセージ送信機能に戻る。
・成功メッセージ送信機能を実行後に、メッセージを受信する機能を動作させる。
・メッセージ受信待ち状態
・パスワード認証状態
・データ書換え状態
・メッセージ送信状態
・「開始後」に、「メッセージ受信待ち状態」に遷移する。
・「メッセージ受信待ち状態」でメッセージを受信した際に、「パスワード認証状態」に遷移する。
・「パスワード認証状態」で、パスワードが一致した際に、「データ書換え状態」に遷移する。
・「パスワード認証状態」で、パスワードが一致しない際に、「メッセージ受信待ち状態」に遷移する。
・「データ書換え状態」で、データの書換えが完了した際に、「メッセージ受信待ち状態」に遷移する。
・「メッセージ送信状態」で、メッセージ送信完了した際に、「メッセージ受信待ち状態」に遷移する。
・アドレスを持つ
・書換えデータを持つ
・パスワードを持つ
21 仕様入力部
22 出力部
23 資産入力部
24 設計モデル入力部
31 設計モデル生成部
32 保護状態モデル生成部
41 演算部(判定部)
42 入力生成部
Claims (6)
- コンピュータが内蔵された製品の設計仕様が入力される仕様入力部と、
前記仕様入力部により入力された設計仕様に基づいて前記製品の動作及び前記製品で用いられるデータを示す設計モデルを生成する設計モデル生成部と、
前記製品の保護資産、及び、当該保護資産の保護状態を入力する資産入力部と、
前記資産入力部により入力された前記保護資産に関連する動作部分である保護状態モデルを、当該動作部分を前記設計モデル生成部により生成された設計モデルから抽出することで生成する保護状態モデル生成部と、
前記保護状態モデルから前記保護資産の保護状態を侵害する状態にあるか否かを判定する判定部と、を備えたことを特徴とする脆弱性評価装置。 - コンピュータが内蔵された製品の動作及び前記製品で用いられるデータを示す設計モデルが入力される設計モデル入力部と、
前記製品の保護資産、及び、当該保護資産の保護状態を入力する資産入力部と、
前記資産入力部により入力された前記保護資産に関連する動作部分である保護状態モデルを、当該動作部分を前記設計モデル入力部により入力された設計モデルから抽出することで生成する保護状態モデル生成部と、
前記保護状態モデルから前記保護資産の保護状態を侵害する状態にあるか否かを判定する判定部と、を備えたことを特徴とする脆弱性評価装置。 - 前記判定部により前記保護資産の保護状態を侵害する状態にあると判定された場合、前記保護資産の保護状態を侵害する状態に至るような前記製品への入力を生成する入力生成部をさらに備えたことを特徴とする請求項1又は2に記載の脆弱性評価装置。
- 前記設計モデルを出力する出力部をさらに有し、
前記資産入力部は、前記出力部に出力された設計モデルが示す前記製品の動作及び前記製品で用いられるデータの中から前記保護資産を選択して入力できるようにしていることを特徴とする請求項1〜3何れか1項に記載の脆弱性評価装置。 - 前記資産入力部は、前記出力部に出力された設計モデルが示す動作の中から前記保護状態に影響を与える動作を選択して入力でき、選択された動作が行われた結果、前記保護資産がどのような状態であれば保護されているかを保護状態として入力できるようにしていることを特徴とする請求項4に記載の脆弱性評価装置。
- 前記設計モデルは、動作フロー又は状態遷移図から構成され、
前記保護状態モデル生成部は、前記動作フロー又は前記状態遷移図のうち、初期状態から前記資産入力部により選択された動作に至るまでを保護状態モデルとして生成し、
前記判定部は、抽出した前記保護状態モデルから前記保護資産の保護状態を逸脱する状態があれば前記保護状態を侵害する状態にあると判定することを特徴とする請求項4に記載の脆弱性評価装置。
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018106764A JP6962867B2 (ja) | 2018-06-04 | 2018-06-04 | 脆弱性評価装置 |
US16/397,164 US20190370474A1 (en) | 2018-06-04 | 2019-04-29 | Vulnerability evaluating apparatus |
EP19172430.1A EP3579133A1 (en) | 2018-06-04 | 2019-05-03 | Software security vulnerability evaluating apparatus |
CN201910376073.3A CN110618919A (zh) | 2018-06-04 | 2019-05-07 | 脆弱性评估装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018106764A JP6962867B2 (ja) | 2018-06-04 | 2018-06-04 | 脆弱性評価装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019211947A JP2019211947A (ja) | 2019-12-12 |
JP6962867B2 true JP6962867B2 (ja) | 2021-11-05 |
Family
ID=66397074
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018106764A Active JP6962867B2 (ja) | 2018-06-04 | 2018-06-04 | 脆弱性評価装置 |
Country Status (4)
Country | Link |
---|---|
US (1) | US20190370474A1 (ja) |
EP (1) | EP3579133A1 (ja) |
JP (1) | JP6962867B2 (ja) |
CN (1) | CN110618919A (ja) |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002157221A (ja) | 2000-11-20 | 2002-05-31 | Nec Fielding Ltd | セキュリティ脆弱点の対策設定自動化システム |
JP2004070561A (ja) * | 2002-08-05 | 2004-03-04 | Funai Electric Co Ltd | デバッグ装置 |
WO2004095176A2 (en) | 2003-04-18 | 2004-11-04 | Ounce Labs, Inc. | Detecting vulnerabilities in source code |
JP2007265089A (ja) * | 2006-03-29 | 2007-10-11 | Fujitsu Ltd | ソフトウェア保守支援プログラム,処理方法および装置 |
JP4759546B2 (ja) * | 2007-09-20 | 2011-08-31 | 株式会社エヌ・ティ・ティ・データ | 仕様欠陥検証システム、その方法及びプログラム |
JP5269722B2 (ja) * | 2009-08-26 | 2013-08-21 | 株式会社東芝 | セキュリティ設計支援装置及びプログラム |
JP2011180850A (ja) * | 2010-03-02 | 2011-09-15 | Mitsubishi Electric Corp | モデル生成装置、モデル生成方法およびモデル生成プログラム |
JP2012128727A (ja) * | 2010-12-16 | 2012-07-05 | Toyota Infotechnology Center Co Ltd | ソフトウェアコンポーネントの信頼性評価方法および装置 |
US10346140B2 (en) * | 2015-08-05 | 2019-07-09 | General Electric Company | System and method for model based technology and process for safety-critical software development |
JP2017068825A (ja) * | 2015-09-29 | 2017-04-06 | パナソニックIpマネジメント株式会社 | ソフトウェア開発システムおよびプログラム |
-
2018
- 2018-06-04 JP JP2018106764A patent/JP6962867B2/ja active Active
-
2019
- 2019-04-29 US US16/397,164 patent/US20190370474A1/en not_active Abandoned
- 2019-05-03 EP EP19172430.1A patent/EP3579133A1/en not_active Withdrawn
- 2019-05-07 CN CN201910376073.3A patent/CN110618919A/zh not_active Withdrawn
Also Published As
Publication number | Publication date |
---|---|
CN110618919A (zh) | 2019-12-27 |
US20190370474A1 (en) | 2019-12-05 |
EP3579133A1 (en) | 2019-12-11 |
JP2019211947A (ja) | 2019-12-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6047463B2 (ja) | セキュリティ上の脅威を評価する評価装置及びその方法 | |
US9372785B2 (en) | Identifying implicit assumptions associated with a software product | |
JPWO2006087780A1 (ja) | 脆弱性監査プログラム、脆弱性監査装置、脆弱性監査方法 | |
TWI541669B (zh) | Detection systems and methods for static detection applications, and computer program products | |
KR20160046640A (ko) | 시각화 유사도 기반 악성 어플리케이션 감지 장치 및 감지 방법 | |
JP6361837B2 (ja) | 訓練装置、訓練方法、及び訓練プログラム | |
KR101623174B1 (ko) | 소스 코드 분석 장치, 이를 위한 컴퓨터 프로그램, 그 기록매체 | |
CN108234441B (zh) | 确定伪造访问请求的方法、装置、电子设备和存储介质 | |
JP2013134573A (ja) | ソフトウェア修正装置、ソフトウェア修正システム、ソフトウェア修正方法、及び、ソフトウェア修正プログラム | |
Angermeier et al. | Modeling security risk assessments | |
JP6962867B2 (ja) | 脆弱性評価装置 | |
JP5077455B2 (ja) | 脆弱性監査プログラム、脆弱性監査装置、脆弱性監査方法 | |
JP2011134306A (ja) | 電子設備及びそれに使用するパスワード保護方法 | |
Patnaik et al. | SLR: from saltzer and schroeder to 2021… 47 years of research on the development and validation of security API recommendations | |
JP7008879B2 (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
Lloyd et al. | Security analysis of a biometric authentication system using UMLsec and JML | |
JP4985073B2 (ja) | 信頼性評価プログラム、信頼性評価方法および信頼性評価装置 | |
JP2012164368A (ja) | リアルタイム・データ保護方法、およびリアルタイム・データ保護方法を実行するためのデータ保護装置 | |
JP6038326B2 (ja) | データ処理装置及びデータ通信装置及び通信システム及びデータ処理方法及びデータ通信方法及びプログラム | |
JP2010244139A (ja) | 対策網羅性検査装置 | |
WO2019142335A1 (ja) | セキュリティ設計装置、セキュリティ設計方法およびセキュリティ設計プログラム | |
Zhioua et al. | Framework for the formal specification and verification of security guidelines | |
CN111767493A (zh) | 一种网站的内容数据的展示方法、装置、设备及存储介质 | |
CN115758338A (zh) | 一种漏洞修复方法、装置、电子设备和存储介质 | |
CN114121049A (zh) | 一种数据处理方法、装置以及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190819 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200728 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20201013 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20201207 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210608 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210709 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20211012 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20211014 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6962867 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |