KAOSによるセキュリティ要求分析

KAOSによるセキュリティ要件の獲得・分析（田原、Axel,Emmanuel）
“特集セキュリティ要求工学の実効性”, 情報処理, Vol.50, No.3, 2009.
などによる、KAOSによるセキュリティ要求分析。

KAOSによる障害分析と同じ。障害→セキュリティ

■手順

1. セキュリティゴールの分析
　保護する資産は何？

2. セキュリティ障害の識別
　セキュリティゴールに対する、悪意のある障害を含む攻撃者のゴールを反ゴールに

3. 反ゴール分析
　反ゴールを成立させる条件を出して行き、末端のゴールを出す
　反ゴールで利益を得られる攻撃エージェントを確認

4. 資産のオブジェクトの反モデルと攻撃者の反モデルを作る
　反モデル：攻撃者、攻撃者のゴールや能力、監視、ソフトの脆弱性
　　　　　　を扱える程度に充実したモデル

5. すべての反要求に対する、攻撃者の潜在能力（盗聴・成りすましなど）である操作の導出

Secure Troposによるセキュリティ要求分析

Haralambos Mouratidis, Paolo Giorgini: Secure Tropos: a Security-Oriented
Extension of the Tropos Methodology. International Journal of Software Engineering
and Knowledge Engineering 17(2): 285-309 (2007)
に記載されている、Secure Troposによるセキュリティ要求分析方法

■特徴
・i*のモデル自体を拡張
　　→セキュリティ制約がある
・ツールあり http://www.securetropos.org/
　（日本語使えない）

■構成要素

i*の構成要素をセキュリティ風にした、基本的なモデル要素
　　・アクター
　　・ハードゴール
　　・ソフトゴール
　　・セキュリティ制約（i*拡張。８角形）


セキュアな実体
　　・セキュアハードゴール
　　・セキュアアクション（対策とか？５角形）

■手順
・セキュリティ分析・設計手順
（１）初期要件整理→ステークホルダー（アクター）分析
　　・セキュリティ制約

（２）後期要件整理→システム分析
　　・アタックシナリオ分析：アタッカーエージェント考慮

（３）アーキテクチャ設計→タスクを割付
　　・（ここでも）アタックシナリオ分析：アタッカーエージェント考慮

（４）詳細設計

・参考：Haralambos,田口,「セキュアトロポス(Secure Tropos)概論」
“特集セキュリティ要求工学の実効性”, 情報処理, Vol.50, No.3, 2009.

i*によるセキュリティ要求分析（Liuの方法）

Liu, et. al, “Security and Privacy Requirements Analysis within a Social Setting”, RE2003
に記載されている、i*によるセキュリティ要求分析方法

１．攻撃者特定→攻撃者モデル
	攻撃者をアクタとして特定
	悪意のあるユーザを“User As Attacker”アクタとして特定
	→赤色で

２．悪意特定→悪意モデル
	攻撃者のゴールとして悪意を特定
	→悪意に関する部分はすべて赤色

３．脆弱性分析→脆弱性モデル
	攻撃の影響を受ける可能性がある要素を特定
	→悪意のゴールやタスクから負の貢献を受ける要素が脆弱
	→濃い灰色で区別

４．攻撃方法特定→攻撃方法モデル
	悪意を達成する手段である、タスクとして特定
	→Liu手法は、具体的な特定方法はない。
	→HazOpの適用
		・攻撃者が持つ、ドメインモデルの要素を分析対象
		・ガイドワードの適用→悪意が達成可能な逸脱状態特定→悪意ゴールのサブゴール
		・逸脱状態の原因として、攻撃方法を特定

５．対策特定→対策モデル
	各攻撃方法に対し、「その攻撃に対抗（回避／検出）したい」というソフトゴールを設定
	そのソフトゴールにに正の貢献関係を持つタスクとして、対策を特定
	対策の優先度付けにFMECAの適用

11月11日(木)のつぶやき

09:44 from web
scrumじゃないと、開発できない案件（要求は、開発中に変えたいけど、予算が決まっている）が、増えてきそうな気がする・・・
by xmldtp on Twitter