@inproceedings{oai:ipsj.ixsq.nii.ac.jp:00240898,
 author = {加藤, 駿 and 榎本, 聖成 and 梶原, 聖矢 and 髙岩, 拓海 and 藤田, 真浩 and 大木, 哲史 and 西垣, 正勝 and Shun, Kato and Sena, Enomoto and Seiya, Kajihara and Takumi, Takaiwa and Masahiro, Fujita and Tetsushi, Ohki and Masakatsu, Nishigaki},
 book = {コンピュータセキュリティシンポジウム2024論文集},
 month = {Oct},
 note = {製品やサービスのセキュリティを確保するために，製品やサービスの設計時にセキュリティのリスクアセスメントを実施することが重要視されている．リスクアセスメントを実施した場合，攻撃データベースをもとに膨大な量の対策すべきセキュリティ上の脅威が抽出されうる．通常，すべての脅威に対策を講ずることは費用対効果的に見合わないため，ガイドラインをもとに対策の優先度を付与してその優先度順に対策を講ずる．すなわち，攻撃データベースやガイドラインは，リスクアセスメントを行うにあたっての知識を形式知化したものであり，その手順に従うことにより脅威の抽出と対策優先度の付与を実施できる．しかし，攻撃データベースおよびガイドラインでは，対策の優先度をリスクアセスメント実施者の経験則から主観的に求める必要がある．本研究では，対策の優先度の客観的な数値化の第一歩として，セキュリティ教育教材から得られる問題の正解率などのデータを活用して，脅威の発生確率を決定する変数の一つである攻撃成功率を数値化する手法を提案している．本提案により，攻撃成功率を数値化することが可能となり，リスクアセスメントによって求める脅威の発生確率を決定する一つの変数が客観的な根拠をもって導出できるようになる．, To ensure the security of products and services, it is important to conduct a security risk assessment at the time of design. When a risk assessment is conducted, a vast amount of security threats that need to be addressed can be extracted based on the attack database. Normally, it is not cost-effective to take measures against all threats, so priorities are assigned to the measures based on guidelines and measures are taken in order of priority. In other words, the attack database and guidelines formalize the knowledge needed to conduct a risk assessment, and by following these procedures, threats can be extracted and priorities assigned. However, the attack database and guidelines require the risk assessor to subjectively determine the priority of the measures based on their experience. In this study, as a first step towards the objective quantification of the priority of measures, we propose a method to quantify the success rate of attacks, which is one of the variables that determine the probability of a threat occurring, using data such as the correct answer rate of problems obtained from security education materials. With this proposal, it is possible to quantify the success rate of attacks, and one of the variables that determine the probability of a threat occurring as a result of a risk assessment can be derived with an objective basis.},
 pages = {1133--1140},
 publisher = {情報処理学会},
 title = {CTFを活用した攻撃成功率の定量化手法の提案},
 year = {2024}
}