原因指向脆弱性モデルに基づくWebアプリケーションのセキュリティ要求分析支援

摘要

情報システムの要求仕様としてユースケースモデルが利用されることがあるが，このモデルでは，データや情報については意図的に記述しない傾向にある．しかし，データや情報を扱うことなく，セキュリティにおいてのアセット保護を分析することは困難である．アセットに被害を与える攻撃はシステムの特性の一部を利用するが，そのような特性を我々は脆弱性とみなす．本稿では，脆弱性の原因となるアセットの流れを分析する手法であるCOVA （Cause-Oriented Vulnerability Analysis）を提案する．COVAでは，データフロー図の一種であるアセットフロー図を用いて，ユースケースモデルを補完する．本手法によって，開発文書や成果物の詳細度に応じて，脆弱性が推測でき，攻撃による脆弱性の利用を阻止もしくは軽減する対策の模索を支援できる．