| Item type |
Symposium(1) |
| 公開日 |
2024-10-15 |
| タイトル |
|
|
言語 |
ja |
|
タイトル |
CTFを活用した攻撃成功率の定量化手法の提案 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
Proposal for a method to quantify the success rate of attacks using CTF |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
CTF,リスクアセスメント,攻撃成功率,セキュリティ対策 |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_5794 |
|
資源タイプ |
conference paper |
| 著者所属 |
|
|
|
三菱電機株式会社 |
| 著者所属 |
|
|
|
静岡大学 |
| 著者所属 |
|
|
|
静岡大学 |
| 著者所属 |
|
|
|
静岡大学 |
| 著者所属 |
|
|
|
三菱電機株式会社 |
| 著者所属 |
|
|
|
静岡大学 |
| 著者所属 |
|
|
|
静岡大学 |
| 著者所属(英) |
|
|
|
en |
|
|
Mitsubishi Electric Corporation |
| 著者所属(英) |
|
|
|
en |
|
|
Shizuoka University |
| 著者所属(英) |
|
|
|
en |
|
|
Shizuoka University |
| 著者所属(英) |
|
|
|
en |
|
|
Shizuoka University |
| 著者所属(英) |
|
|
|
en |
|
|
Mitsubishi Electric Corporation |
| 著者所属(英) |
|
|
|
en |
|
|
Shizuoka University |
| 著者所属(英) |
|
|
|
en |
|
|
Shizuoka University |
| 著者名 |
加藤, 駿
榎本, 聖成
梶原, 聖矢
髙岩, 拓海
藤田, 真浩
大木, 哲史
西垣, 正勝
|
| 著者名(英) |
Shun, Kato
Sena, Enomoto
Seiya, Kajihara
Takumi, Takaiwa
Masahiro, Fujita
Tetsushi, Ohki
Masakatsu, Nishigaki
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
製品やサービスのセキュリティを確保するために,製品やサービスの設計時にセキュリティのリスクアセスメントを実施することが重要視されている.リスクアセスメントを実施した場合,攻撃データベースをもとに膨大な量の対策すべきセキュリティ上の脅威が抽出されうる.通常,すべての脅威に対策を講ずることは費用対効果的に見合わないため,ガイドラインをもとに対策の優先度を付与してその優先度順に対策を講ずる.すなわち,攻撃データベースやガイドラインは,リスクアセスメントを行うにあたっての知識を形式知化したものであり,その手順に従うことにより脅威の抽出と対策優先度の付与を実施できる.しかし,攻撃データベースおよびガイドラインでは,対策の優先度をリスクアセスメント実施者の経験則から主観的に求める必要がある.本研究では,対策の優先度の客観的な数値化の第一歩として,セキュリティ教育教材から得られる問題の正解率などのデータを活用して,脅威の発生確率を決定する変数の一つである攻撃成功率を数値化する手法を提案している.本提案により,攻撃成功率を数値化することが可能となり,リスクアセスメントによって求める脅威の発生確率を決定する一つの変数が客観的な根拠をもって導出できるようになる. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
To ensure the security of products and services, it is important to conduct a security risk assessment at the time of design. When a risk assessment is conducted, a vast amount of security threats that need to be addressed can be extracted based on the attack database. Normally, it is not cost-effective to take measures against all threats, so priorities are assigned to the measures based on guidelines and measures are taken in order of priority. In other words, the attack database and guidelines formalize the knowledge needed to conduct a risk assessment, and by following these procedures, threats can be extracted and priorities assigned. However, the attack database and guidelines require the risk assessor to subjectively determine the priority of the measures based on their experience. In this study, as a first step towards the objective quantification of the priority of measures, we propose a method to quantify the success rate of attacks, which is one of the variables that determine the probability of a threat occurring, using data such as the correct answer rate of problems obtained from security education materials. With this proposal, it is possible to quantify the success rate of attacks, and one of the variables that determine the probability of a threat occurring as a result of a risk assessment can be derived with an objective basis. |
| 書誌情報 |
コンピュータセキュリティシンポジウム2024論文集
p. 1133-1140,
発行日 2024-10-15
|
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJ-CSS2024152.pdf (1.3 MB)
