脆弱性対策行動喚起を目的とした脆弱性脅威グラフ提示システムの提案

神宮 真人 (1051056)

既知の脆弱性を悪用した不正アクセスは,提供される修正パッチを適用することで未然に防ぐことができる. しかし,自身が受ける影響を理解していないユーザは脆弱性の脅威を認知できないため脆弱性対策を施さない. 脆弱性対策を促進させるためには,脆弱性の脅威を認知させることが重要である. そこで,端末に内在する脆弱性によって受ける可能性のある攻撃を提示することで,脆弱性の脅威を認知させることが可能であると仮定する. 本研究では,脆弱性情報と攻撃情報の関連性を示した脆弱性脅威グラフ(VTG)を提案する. また,端末に内在する脆弱性の検出,及びVTGの生成を自動化するために,試作システムを実装する. さらに,試作システムに対して,脆弱性の脅威を認知させることへの有用性を評価する. その結果,脆弱性の脅威を認知させるために必要な要件を満たせていることを示した. また,既存の端末管理製品と比較した結果,管理対象がベンダに依存しない点及び提示する攻撃情報を削減できる点で優れていることを示した. さらに,試作システムの実証実験により,VTGによって脆弱性の脅威を認知させることが可能であることを明らかにした.