講演抄録/キーワード |
講演名 |
2016-11-25 14:40
脅威モデリング連携型ファジングテスト手法の提案 ○西尾泰彦・城間政司(CCDS)・井上博之(CCDS/広島市大) ICSS2016-41 |
抄録 |
(和) |
本研究の目的は,IoTシステムのセキュリティを確保できるファジングテスト手法を確立することである.セキュリティの確保のためには,システムの脅威を洗い出し,それにそったテストを進めていくことが重要となる.そこでシステムの脅威を視覚的に洗い出す脅威モデリングと既存のファジングテストを連携させた,脅威モデル連携型ファジング手法を提案する.これにより,テスト技術者はファジングテストで検証する脆弱性を脅威モデルという形で視覚的にとらえ,研究者は脅威モデリング結果をテストデータに変換できるメリットが得られる.具体的には,脅威モデルをXMLファイルに変換可能なツールで描画し,変換したXMLファイルを既存ファジングツールで使えるデータにする手順の整備を行う.これにより,脅威モデルの知見をファズデータに変換することや,現場で考え付いたファズデータを脅威モデルの形で構造設計ドキュメントのように視覚化するという,現場作業者に役立つ利点を得ることが可能となる.最終的に提案した本手法を実際のカーナビや脆弱なWebシステムに適用し,その結果についても考察する. |
(英) |
The purpose of this study is to develop a fuzz testing method that can ensure the IoT security especially automotive system security. To ensure the system security, it is important to expose the system threats and to test along with them. We propose a fuzz testing method cooperated with threat modeling. Our study have two merits. First, engineer can learn the knowledge of threat modeling smoothly. Second, researcher can exchange their threat model to test data, especially, fuzzing data. We can derive the merits to develop a procedure that exchange the threat model to fuzz data via a threat meta-model made by XML format. Finally, we applied our method to real device and system, car navigation system and vulnerable Web system as two case study. |
キーワード |
(和) |
脅威モデリング / ファジング / メタモデル / XML / 車載システム / リバースエンジニアリング / / |
(英) |
Threat Modeling / Fuzzing / Meta model / XML / Automotive system / Reverse engineering / / |
文献情報 |
信学技報, vol. 116, no. 328, ICSS2016-41, pp. 15-20, 2016年11月. |
資料番号 |
ICSS2016-41 |
発行日 |
2016-11-18 (ICSS) |
ISSN |
Print edition: ISSN 0913-5685 Online edition: ISSN 2432-6380 |
著作権に ついて |
技術研究報告に掲載された論文の著作権は電子情報通信学会に帰属します.(許諾番号:10GA0019/12GB0052/13GB0056/17GB0034/18GB0034) |
PDFダウンロード |
ICSS2016-41 |