2015/11/30

NTTデータの金子さんのCC-Caseインシデント対応版CC-Case_iを公開しました!

  • 名前Name
    • CC-Case_i
  • 意図Intent
    • インシデント発生に伴い,一時対処が終了した後の本格対処時に利用できるようにCC-Case活用の幅を広げ,CC-Caseインシデント対応版をCC-Case_iと命名し提案
  • 動機Motivation
    • CC-Case_iの目的は,より巧妙化する脅威に対して,より安全なシステム・ソフトウェアを開発するために,現在のインシデントの本格対応も含め,CC認証を伴わない一般的な開発におけるセキュリティ上の課題を解決できるセキュアなシステム開発への対応を実施すること。
  • 構造Structure


    • CC-Case_iCC-Caseと同様に論理モデルと具体モデルの2層構造をもつ.論理モデルは論理的にセキュリティ仕様アシュアランスケースを作成するプロセスを提示し,具体モデルは実際の事例を記述する。

  • 適用条件Applicability
    • CC認証を伴わない一般的な開発におけるセキュリティ上の課題を解決。
  • 使用方法(Implementation) 
    • CC-Case_iは普遍的に記載する以下の論理モデルをもつ(6).「G_1 XXシステムのセキュリティインシデント解決方法は妥当である」をトップゴールとし,「C_1インシデントの発生」の前提条件,「S_1インシデント対応が適切であることを論証する」戦略に則り,「G_2インシデント認識は妥当である」,「G_3現状調査と原因分析は妥当である」,「G_4対策立案と選択は妥当である」,「G_5対策実施は妥当である」,「G_6結果の評価は妥当である」の5つの段階を規定している.これらのプロセスは一般的な問題解決手順に沿っており,主張と証拠を記述することで,ステークホルダ間の議論をしやすくすることを意図している
  • 前例Known Usage
    • より安全なシステム構築のために~CC-Case_iによるセキュリティ要件の見える化, JNSA設立15周年記念論文 学術論文 優秀賞
  • Example
o   標的型攻撃の解決事例
  • 関連D-Case (Related patterns) 

o   CC-Case~コモンクライテリア準拠のアシュアランスケースによるセキュリティ要求分析・保より安全なシステム構築のために~CC-Case_iによるセキュリティ要件の見える化, JNSA設立15周年記念論文 学術論文 優秀賞