セキュリティ要求工学技術とその実効性 – 東京サブワークショップ第8回

開発深知」から要求工学ワーキンググループが2013年5月13日に開催した東京サブワークショップ第8回「セキュリティ要求工学技術とその実効性」の講義動画を紹介します。動画をご覧になるには、開発深知の会員登録(無料)が必要です。

講義は、こちらから登録することができます。
東京サブワークショップ | 開発深知

講師

国立情報学研究所 吉岡信和先生
※講座内容や講師の所属に関しましては、収録時の情報を掲載しております。変更になっている場合がございますので、ご了承いただきますようお願いします。

講義スライド

セキュリティ要求工学技術とその実効性の講義スライドをピックアップして紹介します。

セキュリティ要求工学

14210101_セキュリティ要求工学
セキュリティに関する要求をいかにまとめるかといった技術の集大成

【要求分析技術】
エージェント指向要素分析

  • 利害関係者(ステークホルダ)間やサブシステムの依存関係、役割分担を明確化
  • セキュリティが必要になる状況や関係者が行うべき義務を明確化

ゴール指向要求分析

  • システムの位置づけ・目的(WHY)を明らかにする手法
  • →セキュリティの目的の明確化

ミスユースケース・アビュースケース手法

  • ユースケースを拡張した脆弱性分析手法
  • →脅威を攻撃者のシステムの悪用ケースとしてモデル化

ゴール指向セキュリティ要求分析:KAOS

14210102_ゴール指向セキュリティ要求分析:KAOS

  • A. Lamsweerdeらによる
  • システムのゴールをAND/OR分解して具体的な操作までに詳細化
  • セキュリティゴールを脅かす障害をアンチゴールとして分析

エージェント指向セキュリティ要求分析:i*:Secure Tropos

14210103_エージェント指向セキュリティ要求分析:i*:Secure Tropos

UMLを用いた分析:Misuse cases:Abuse Cases

14210104_UMLを用いた分析:Misuse cases:Abuse Cases
Abuse Cases

  • J. McDermottらによる
  • 単に悪意あるアクター、処理を別途書く

Misuse Cases

  • G. Sindreらによる
  • 脅威と対策(軽減)の関係を明確化

参考リンク

要求工学ワーキンググループ
トップエスイー | サイエンスによる知的ものづくり教育プログラム
NPO法人トップエスイー教育センター
トップエスイーチャンネル(TopSE Channel)

ソフトウェア開発者のための学習サイト「開発深知」については、開発深知とはをご覧ください。