CASTとFRAMによるセキュリティ事故分析 ~システム思考とレジリエンス~
ダウンロード数: 178回
発表場所 : SQiP研究会
主査 : 金子 朋子(情報セキュリティ大学院大学)
副主査 : 髙橋 雄志(株式会社アイダック)
アドバイザー : 佐々木 良一(東京電機大学)
執筆者 : 三宅 保太朗(株式会社DISインサイト) 、出原 進一(パナソニック株式会社) 、大西 智久(NTT コミュニケーションズ株式会社) 、壁谷 勇磨(株式会社日立製作所) 、金沢 昇(テックスエンジソリューションズ株式会社) 、中嶋 良秀(株式会社ノーリツ) 、西 啓行(富士通株式会社) 、藤原 真哉(NTT コミュニケーションズ株式会社) 、山崎 真一(富士ゼロックス株式会社) 、山口 賢人(TIS株式会社) 、須藤 智子(株式会社日立ソリューションズ)
副主査 : 髙橋 雄志(株式会社アイダック)
アドバイザー : 佐々木 良一(東京電機大学)
執筆者 : 三宅 保太朗(株式会社DISインサイト) 、出原 進一(パナソニック株式会社) 、大西 智久(NTT コミュニケーションズ株式会社) 、壁谷 勇磨(株式会社日立製作所) 、金沢 昇(テックスエンジソリューションズ株式会社) 、中嶋 良秀(株式会社ノーリツ) 、西 啓行(富士通株式会社) 、藤原 真哉(NTT コミュニケーションズ株式会社) 、山崎 真一(富士ゼロックス株式会社) 、山口 賢人(TIS株式会社) 、須藤 智子(株式会社日立ソリューションズ)
紹介文 :
AI・IoT時代に即した、システムを全体俯瞰でとらえるシステム思考アプローチであるSTAMP (Systems Theoretic Accident Model and Processes)やしなやかな強さで安全性を実現し、回復させるレジリエンス・エンジニアリングが注目されている。
そこで産業総合研究所からだされたサイバーセキュリティ事故報告書に対して、STAMPモデルを用いた事故分析手法CAST(Casual Analysis using System Theory)とレジリエンスエンジニアの機能共鳴手法FRAMの2つの手法による分析を実施し、各手法の特徴を比較した。セーフティ技術であるCASTとFRAMをサイバーセキュリティの分析に用いた点も大変、新規性の高い取り組みである。
論文とともに具体的な分析の一連の証跡、分析手順、結果など、利用価値の高い付録も収録しているので、ぜひ活用してほしい。
AI・IoT時代に即した、システムを全体俯瞰でとらえるシステム思考アプローチであるSTAMP (Systems Theoretic Accident Model and Processes)やしなやかな強さで安全性を実現し、回復させるレジリエンス・エンジニアリングが注目されている。
そこで産業総合研究所からだされたサイバーセキュリティ事故報告書に対して、STAMPモデルを用いた事故分析手法CAST(Casual Analysis using System Theory)とレジリエンスエンジニアの機能共鳴手法FRAMの2つの手法による分析を実施し、各手法の特徴を比較した。セーフティ技術であるCASTとFRAMをサイバーセキュリティの分析に用いた点も大変、新規性の高い取り組みである。
論文とともに具体的な分析の一連の証跡、分析手順、結果など、利用価値の高い付録も収録しているので、ぜひ活用してほしい。
概要 :
IOTシステムのように,複雑な相互作用をもつシステムにおいては,従来の事故モデルを前提 とした分析では十分な再発防止が困難であり,新たな事故モデルに基づく分析が必要となってきている.また,IOTシステムにおいてはセーフティとセキュリティを同時に考慮する必要がある.しかし新たな事故モデルによる事故分析事例が少なく,その適用が普及していないのが現状である.本稿では,公開されているセキュリティ事故事例に対して CASTおよび FRAMを適用し,セーフティ分野の事故分析手法がセキュリティ事故分析に有効であることを示す.さらに,分析を通じて各手法がどのような場合に有効に適用できるかを提示する.
IOTシステムのように,複雑な相互作用をもつシステムにおいては,従来の事故モデルを前提 とした分析では十分な再発防止が困難であり,新たな事故モデルに基づく分析が必要となってきている.また,IOTシステムにおいてはセーフティとセキュリティを同時に考慮する必要がある.しかし新たな事故モデルによる事故分析事例が少なく,その適用が普及していないのが現状である.本稿では,公開されているセキュリティ事故事例に対して CASTおよび FRAMを適用し,セーフティ分野の事故分析手法がセキュリティ事故分析に有効であることを示す.さらに,分析を通じて各手法がどのような場合に有効に適用できるかを提示する.
