« 3/30(月) IPA/SECセミナーレポート1 | トップページ | サイトコアのカスタマーエクスペリエンス成熟度診断 »

3/30(月) IPA/SECセミナーレポート2、セキュリティ設計分析手法

引き続き、3/30(月)に開催されたIPA/SECセミナーのレポートです。1月に実施されたクリティカルソフトウェアワークショップ(WOCS)で、最優秀賞を受賞した発表の一つ、お薬手帳の設計分析に関する講演でした。

IoT時代のセーフティとセキュリティ
~つながる世界の安全・安心の確保に向けた課題と最新技術をご紹介!~

【12thWOCS2最優秀賞受賞テーマ】 セキュリティ設計分析手法(電子お薬手帳システムに適用)
ソニーデジタルネットワークアプリケーションズ株式会社  松並 勝 氏

WOCSのプログラムページで公開されている論文PDF
ソニーの電子お薬手帳システムに適用したセキュリティ設計分析手法

セキュリティ設計分析手法は、システムの設計段階で文書をレビューすることでセキュリティ対策を施そうというものですが、セキュリティに対する高度な知識が必要なため、なかなか普及していないのが現状だそうです。暗号やOSに関する技術的な知識に加えて、各々の技術を用いることでシステム全体としてセキュリティを保持できているかを見える形にする力が必要とお話されていました。
開発工程の中で、実装時にソースコードの静的解析をしたり、実装後のテストにおいて脆弱性を診断したりといった取り組みは広がってきています。ただ、製品がほぼ出来上がりつつあるテスト段階で問題を発見した場合、製品そのもののリリーススケジュールに及ぼす影響が大きくなりがちというのが現場の課題で、より早い段階で問題を見つけたいという背景から、セキュリティ設計分析を実施したとのことでした。

今回の発表では、ソニーの電子お薬手帳システム「harmo(ハルモ)」の設計において、2名が専属で二ケ月(16時間/日)かけてセキュリティ設計分析をした結果、浮き上がってきた二つのパターンが提案されました。セキュリティ要件の導き方と、導いた要件をどう分解していくかの手順です。

私はセキュリティに関して不勉強なので知りませんでしたが、脅威ツリーを書くことで事象と条件、考えた過程を可視化できる脅威モデリングという手法がありました。講演の中でも触れられたマイクロソフトの詳しい解説ページが参考になります。
脅威モデルを作成する

経験や知識を前提とした難しい作業と考えられている業務から、繰り返し登場するものを見つけ出しパターン化することで、技術の普及を図ると共に確実なセキュリティ対策を進めやすくしようとする試みだなと感じました。

|

« 3/30(月) IPA/SECセミナーレポート1 | トップページ | サイトコアのカスタマーエクスペリエンス成熟度診断 »

講演・セミナー」カテゴリの記事

コメント

コメントを書く



(ウェブ上には掲載しません)


コメントは記事投稿者が公開するまで表示されません。



トラックバック

この記事のトラックバックURL:
http://app.f.cocolog-nifty.com/t/trackback/98967/59489867

この記事へのトラックバック一覧です: 3/30(月) IPA/SECセミナーレポート2、セキュリティ設計分析手法:

« 3/30(月) IPA/SECセミナーレポート1 | トップページ | サイトコアのカスタマーエクスペリエンス成熟度診断 »