アセットフロー図と配置図を用いた情報システムのセキュリティ要求分析支援ツール

摘要

近年、情報システムに対して厳しいセキュリティ要求が社会的な関心事になっている。しかし、要求定義フェーズで脆弱性を包括的に発見する手法は確立されていない。本報告では、情報システム開発においてセキュリティ要求分析支援を行う手法を提案する。本手法は、ユースケース記述をアセットフロー図に変換し配置図のシステムアーキテクチャに基づき詳細化することで脆弱性の可能性を探索することでセキュリティ要求分析を行う。加えて、手法をガイドする支援ツールの紹介も行う。支援ツールでは、アセットフローに基づく要求のモデル記述の支援と、脆弱性の発見を行う。手法の有効性を確認するために、電子掲示板システムの脆弱性分析を行った結果も紹介する。