KAOSによるセキュリティ要件の獲得・分析(田原、Axel,Emmanuel)
“特集セキュリティ要求工学の実効性”, 情報処理, Vol.50, No.3, 2009.
などによる、KAOSによるセキュリティ要求分析。
KAOSによる障害分析と同じ。障害→セキュリティ
■手順
1. セキュリティゴールの分析
保護する資産は何?
2. セキュリティ障害の識別
セキュリティゴールに対する、悪意のある障害を含む攻撃者のゴールを反ゴールに
3. 反ゴール分析
反ゴールを成立させる条件を出して行き、末端のゴールを出す
反ゴールで利益を得られる攻撃エージェントを確認
4. 資産のオブジェクトの反モデルと攻撃者の反モデルを作る
反モデル:攻撃者、攻撃者のゴールや能力、監視、ソフトの脆弱性
を扱える程度に充実したモデル
5. すべての反要求に対する、攻撃者の潜在能力(盗聴・成りすましなど)である操作の導出