論文の概要: Managing Security Evidence in Safety-Critical Organizations

• arxiv url: http://arxiv.org/abs/2404.17332v1
• Date: Fri, 26 Apr 2024 11:30:34 GMT
• ステータス: 処理完了
• システム内更新日: 2024-04-29 13:24:47.103469
• Title: Managing Security Evidence in Safety-Critical Organizations
• Title（参考訳）: 安全クリティカル組織におけるセキュリティエビデンス管理
• Authors: Mazen Mohamad, Jan-Philipp Steghöfer, Eric Knauss, Riccardo Scandariato,
• Abstract要約: 本稿では,安全クリティカル組織におけるセキュリティ証拠管理の成熟度について述べる。 認証機関や標準化機関が定める要件の増大に対して,セキュリティ証拠管理の現在の成熟度は不十分であることが判明した。 理由の1つは教育のギャップであり、もう1つはプロセスの欠如である。
• 参考スコア（独自算出の注目度）: 10.905169282633256
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: With the increasing prevalence of open and connected products, cybersecurity has become a serious issue in safety-critical domains such as the automotive industry. As a result, regulatory bodies have become more stringent in their requirements for cybersecurity, necessitating security assurance for products developed in these domains. In response, companies have implemented new or modified processes to incorporate security into their product development lifecycle, resulting in a large amount of evidence being created to support claims about the achievement of a certain level of security. However, managing evidence is not a trivial task, particularly for complex products and systems. This paper presents a qualitative interview study conducted in six companies on the maturity of managing security evidence in safety-critical organizations. We find that the current maturity of managing security evidence is insufficient for the increasing requirements set by certification authorities and standardization bodies. Organisations currently fail to identify relevant artifacts as security evidence and manage this evidence on an organizational level. One part of the reason are educational gaps, the other a lack of processes. The impact of AI on the management of security evidence is still an open question
• Abstract（参考訳）: オープンでコネクテッドな製品の普及に伴い、サイバーセキュリティは自動車産業のような安全上重要な分野において深刻な問題となっている。 その結果、規制機関は、これらのドメインで開発された製品に対するセキュリティ保証を必要とするサイバーセキュリティの要件により厳しくなっている。 これを受けて企業は,製品開発ライフサイクルにセキュリティを組み込むために,新たなあるいは修正されたプロセスを実装した。 しかし、エビデンスを管理することは、特に複雑な製品やシステムにとって、簡単な作業ではない。 本稿では,安全クリティカル組織におけるセキュリティ証拠管理の成熟度について,6社で実施した質的な面接調査について述べる。 認証機関や標準化機関が定める要件の増大に対して,セキュリティ証拠管理の現在の成熟度は不十分であることが判明した。 組織は現在、関連するアーティファクトをセキュリティ証拠として特定できず、この証拠を組織レベルで管理しています。 理由の1つは教育のギャップであり、もう1つはプロセスの欠如である。 セキュリティ証拠の管理にAIが与える影響は、まだ未解決の問題だ

関連論文リスト

• Critical Infrastructure Security: Penetration Testing and Exploit Development Perspectives [0.0]
  本稿では,重要なインフラのセキュリティに関する文献をレビューし,浸透試験と活用開発に焦点をあてる。 この論文の発見は、重要なインフラや、サイバー敵による高度な脅威に固有の脆弱性を明らかにしている。 このレビューは、継続的かつ積極的なセキュリティアセスメントの必要性を強調している。
  論文  参考訳（メタデータ） (2024-07-24T13:17:07Z)
• Cross-Modality Safety Alignment [73.8765529028288]
  我々は、モダリティ間の安全アライメントを評価するために、セーフインプットとアンセーフアウトプット(SIUO)と呼ばれる新しい安全アライメントの課題を導入する。 この問題を実証的に調査するため,我々はSIUOを作成した。SIUOは,自己修復,違法行為,プライバシー侵害など,9つの重要な安全領域を含むクロスモダリティベンチマークである。 以上の結果から, クローズドおよびオープンソース両方のLVLMの安全性上の重大な脆弱性が明らかとなり, 複雑で現実的なシナリオを確実に解釈し, 応答する上で, 現行モデルが不十分であることが示唆された。
  論文  参考訳（メタデータ） (2024-06-21T16:14:15Z)
• Sok: Comprehensive Security Overview, Challenges, and Future Directions of Voice-Controlled Systems [10.86045604075024]
  Voice Control Systemsをスマートデバイスに統合することで、セキュリティの重要性が強調される。 現在の研究では、VCSの脆弱性が多数発見され、ユーザのプライバシとセキュリティに重大なリスクが提示されている。 本稿では,VCSの階層的モデル構造を導入し,既存の文献を体系的に分類・分析するための新しいレンズを提供する。 我々は,その技術的原則に基づいて攻撃を分類し,その方法,目標,ベクトル,行動など,さまざまな属性を徹底的に評価する。
  論文  参考訳（メタデータ） (2024-05-27T12:18:46Z)
• Enhancing Energy Sector Resilience: Integrating Security by Design Principles [20.817229569050532]
  セキュリティ・バイ・デザイン(Security by Design, Sbd)とは、セキュリティ・アタックに不注意なシステムを開発・保守するための概念である。 本報告では,産業用制御システムにおけるSbDの実装に関するセキュリティ要件について述べる。
  論文  参考訳（メタデータ） (2024-02-18T11:04:22Z)
• A Survey and Comparative Analysis of Security Properties of CAN Authentication Protocols [92.81385447582882]
  コントロールエリアネットワーク(CAN)バスは車内通信を本質的に安全でないものにしている。 本稿では,CANバスにおける15の認証プロトコルをレビューし,比較する。 実装の容易性に寄与する本質的な運用基準に基づくプロトコルの評価を行う。
  論文  参考訳（メタデータ） (2024-01-19T14:52:04Z)
• sec-certs: Examining the security certification practice for better vulnerability mitigation [0.2886273197127056]
  致命的な脆弱性は保証レベルの高い認定製品で発見される。 このような脆弱性によって認定された製品が影響を受けるかを評価するのは、非構造化の認定関連データが大量にあるため、複雑である。 NISTのNational Vulnerability Databaseから、既存の認定製品に影響を与える脆弱性を学ぶために、教師なしのモデルをトレーニングしました。
  論文  参考訳（メタデータ） (2023-11-29T12:55:16Z)
• The Last Decade in Review: Tracing the Evolution of Safety Assurance Cases through a Comprehensive Bibliometric Analysis [7.431812376079826]
  安全保証は、自動車、航空宇宙、原子力など、様々な分野において最重要事項である。 安全保証ケースを使用することで、生成されたシステム機能の正しさを検証することができ、システム障害を防止することができる。
  論文  参考訳（メタデータ） (2023-11-13T17:34:23Z)
• Leveraging Traceability to Integrate Safety Analysis Artifacts into the Software Development Process [51.42800587382228]
  安全保証ケース(SAC)は、システムの進化中に維持することが困難である。 本稿では,ソフトウェアトレーサビリティを活用して,関連するシステムアーチファクトを安全解析モデルに接続する手法を提案する。 安全ステークホルダーがシステム変更が安全性に与える影響を分析するのに役立つように、システム変更の合理性を設計する。
  論文  参考訳（メタデータ） (2023-07-14T16:03:27Z)
• Towards Safer Generative Language Models: A Survey on Safety Risks, Evaluations, and Improvements [76.80453043969209]
  本調査では,大規模モデルに関する安全研究の枠組みについて述べる。 まず、広範囲にわたる安全問題を導入し、その後、大型モデルの安全性評価手法を掘り下げる。 トレーニングからデプロイメントまで,大規模なモデルの安全性を高めるための戦略について検討する。
  論文  参考訳（メタデータ） (2023-02-18T09:32:55Z)
• Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
  大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。 我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。 我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
  論文  参考訳（メタデータ） (2020-10-19T13:09:31Z)
• Toward Trustworthy AI Development: Mechanisms for Supporting Verifiable Claims [59.64274607533249]
  AI開発者は、責任を負うことのできる検証可能な主張をする必要がある。 このレポートは、さまざまな利害関係者がAIシステムに関するクレームの妥当性を改善するための様々なステップを示唆している。 我々は、この目的のための10のメカニズム、すなわち、組織、ソフトウェア、ハードウェアを分析し、それらのメカニズムの実装、探索、改善を目的とした推奨を行う。
  論文  参考訳（メタデータ） (2020-04-15T17:15:35Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。