論文の概要: Understanding, Implementing, and Supporting Security Assurance Cases in Safety-Critical Domains
- arxiv url: http://arxiv.org/abs/2501.04479v1
- Date: Wed, 08 Jan 2025 13:02:08 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-01-09 14:56:34.473291
- Title: Understanding, Implementing, and Supporting Security Assurance Cases in Safety-Critical Domains
- Title(参考訳): 安全クリティカルドメインにおけるセキュリティ保証事例の理解・実装・支援
- Authors: Mazen Mohamad,
- Abstract要約: 我々は,ISO/SAE-21434と整合し,品質保証対策を統合するセキュリティ保証ケース(SAC)を作成するためのアプローチであるCASCADEを提案する。
我々は、安全クリティカルドメインの企業内外のSAC導入を促進する様々な要因について検討し、既存の文献のギャップを識別する。
我々の研究は、セキュリティ保証の実践の進歩に寄与し、SACの作成と管理における実践者への実践的支援を提供する。
- 参考スコア(独自算出の注目度): 0.2417342411475111
- License:
- Abstract: The increasing demand for connectivity in safety-critical domains has made security assurance a crucial consideration. In safety-critical industry, software, and connectivity have become integral to meeting market expectations. Regulatory bodies now require security assurance cases (SAC) to verify compliance, as demonstrated in ISO/SAE-21434 for automotive. However, existing approaches for creating SACs do not adequately address industry-specific constraints and requirements. In this thesis, we present CASCADE, an approach for creating SACs that aligns with ISO/SAE-21434 and integrates quality assurance measures. CASCADE is developed based on insights from industry needs and a systematic literature review. We explore various factors driving SAC adoption, both internal and external to companies in safety-critical domains, and identify gaps in the existing literature. Our approach addresses these gaps and focuses on asset-driven methodology and quality assurance. We provide an illustrative example and evaluate CASCADE's suitability and scalability in an automotive OEM. We evaluate the generalizability of CASCADE in the medical domain, highlighting its benefits and necessary adaptations. Furthermore, we support the creation and management of SACs by developing a machine-learning model to classify security-related requirements and investigating the management of security evidence. We identify deficiencies in evidence management practices and propose potential areas for automation. Finally, our work contributes to the advancement of security assurance practices and provides practical support for practitioners in creating and managing SACs.
- Abstract(参考訳): 安全クリティカルな領域における接続性に対する需要が高まっているため、セキュリティ保証は重要な考慮事項となっている。
安全クリティカルな業界では、ソフトウェアと接続性は市場の期待に応えるために欠かせないものになっている。
規制機関は現在、自動車のISO/SAE-21434で示されているように、コンプライアンスの検証のためにセキュリティ保証ケース(SAC)を必要としている。
しかし、SACを作成するための既存のアプローチは、業界固有の制約や要件に適切に対処していない。
本稿では,ISO/SAE-21434と整合し,品質保証対策を統合したSACを作成するためのアプローチであるCASCADEを提案する。
CASCADEは産業ニーズからの洞察と体系的な文献レビューに基づいて開発されている。
我々は、安全クリティカルドメインの企業内外のSAC導入を促進する様々な要因について検討し、既存の文献のギャップを識別する。
われわれのアプローチはこれらのギャップに対処し、資産主導の方法論と品質保証に焦点を当てている。
自動車OEMにおけるCASCADEの適合性とスケーラビリティを評価する。
医療領域におけるCASCADEの一般化可能性について検討し,そのメリットと適応性を強調した。
さらに、セキュリティ関連の要件を分類し、セキュリティ証拠の管理を調査する機械学習モデルを開発することにより、SACの作成と管理を支援する。
我々はエビデンスマネジメントの実践における欠陥を特定し、自動化の潜在的な領域を提案する。
最後に,セキュリティ保証の実践の進展に寄与し,SACの作成・管理における実践者への実践的支援を提供する。
関連論文リスト
- Towards Understanding and Applying Security Assurance Cases for Automotive Systems [0.2417342411475111]
セキュリティ保証事件(Security Assurance Cases, SAC)は、ある特定のアーチファクトのセキュリティ特性を推論するために用いられる議論と証拠の構造体である。
セキュリティ保証の必要性が高まる中、SACは自動車分野に重点を置いている。
品質保証を統合したSACを作成するためのアプローチであるCASCADEを開発した。
論文 参考訳(メタデータ) (2024-09-05T12:34:23Z) - Automating Semantic Analysis of System Assurance Cases using Goal-directed ASP [1.2189422792863451]
本稿では, セマンティックルールに基づく分析機能を備えた Assurance 2.0 の拡張手法を提案する。
本稿では, 論理的整合性, 妥当性, 不整合性など, 保証事例のユニークな意味的側面について考察する。
論文 参考訳(メタデータ) (2024-08-21T15:22:43Z) - Evaluating the Role of Security Assurance Cases in Agile Medical Device Development [2.9790563467999247]
医療機器のサイバーセキュリティ問題は患者の安全を脅かし、悪用された場合に害を与える可能性がある。
標準と規制は、そのようなデバイスのベンダーに対して、サイバーセキュリティのリスクの評価と、それらの緩和に関する説明を提供するよう要求している。
セキュリティ保証ケース(SAC)は、これらの要素を構造化された引数としてキャプチャする。
論文 参考訳(メタデータ) (2024-07-10T14:34:53Z) - Cross-Modality Safety Alignment [73.8765529028288]
我々は、モダリティ間の安全アライメントを評価するために、セーフインプットとアンセーフアウトプット(SIUO)と呼ばれる新しい安全アライメントの課題を導入する。
この問題を実証的に調査するため,我々はSIUOを作成した。SIUOは,自己修復,違法行為,プライバシー侵害など,9つの重要な安全領域を含むクロスモダリティベンチマークである。
以上の結果から, クローズドおよびオープンソース両方のLVLMの安全性上の重大な脆弱性が明らかとなり, 複雑で現実的なシナリオを確実に解釈し, 応答する上で, 現行モデルが不十分であることが示唆された。
論文 参考訳(メタデータ) (2024-06-21T16:14:15Z) - Managing Security Evidence in Safety-Critical Organizations [10.905169282633256]
本稿では,安全クリティカル組織におけるセキュリティ証拠管理の成熟度について述べる。
認証機関や標準化機関が定める要件の増大に対して,セキュリティ証拠管理の現在の成熟度は不十分であることが判明した。
理由の1つは教育のギャップであり、もう1つはプロセスの欠如である。
論文 参考訳(メタデータ) (2024-04-26T11:30:34Z) - Service Level Agreements and Security SLA: A Comprehensive Survey [51.000851088730684]
本調査では,SLA管理のコンセプト,アプローチ,オープンな課題を網羅する技術の現状を明らかにする。
これは、既存の調査で提案された分析と、このトピックに関する最新の文献とのギャップを包括的にレビューし、カバーすることで貢献する。
SLAライフサイクルの段階に基づく分析を組織化するための新しい分類基準を提案する。
論文 参考訳(メタデータ) (2024-01-31T12:33:41Z) - A Survey and Comparative Analysis of Security Properties of CAN Authentication Protocols [92.81385447582882]
コントロールエリアネットワーク(CAN)バスは車内通信を本質的に安全でないものにしている。
本稿では,CANバスにおける15の認証プロトコルをレビューし,比較する。
実装の容易性に寄与する本質的な運用基準に基づくプロトコルの評価を行う。
論文 参考訳(メタデータ) (2024-01-19T14:52:04Z) - Leveraging Traceability to Integrate Safety Analysis Artifacts into the
Software Development Process [51.42800587382228]
安全保証ケース(SAC)は、システムの進化中に維持することが困難である。
本稿では,ソフトウェアトレーサビリティを活用して,関連するシステムアーチファクトを安全解析モデルに接続する手法を提案する。
安全ステークホルダーがシステム変更が安全性に与える影響を分析するのに役立つように、システム変更の合理性を設計する。
論文 参考訳(メタデータ) (2023-07-14T16:03:27Z) - Towards Safer Generative Language Models: A Survey on Safety Risks,
Evaluations, and Improvements [76.80453043969209]
本調査では,大規模モデルに関する安全研究の枠組みについて述べる。
まず、広範囲にわたる安全問題を導入し、その後、大型モデルの安全性評価手法を掘り下げる。
トレーニングからデプロイメントまで,大規模なモデルの安全性を高めるための戦略について検討する。
論文 参考訳(メタデータ) (2023-02-18T09:32:55Z) - Evaluating Model-free Reinforcement Learning toward Safety-critical
Tasks [70.76757529955577]
本稿では、国家安全RLの観点から、この領域における先行研究を再考する。
安全最適化と安全予測を組み合わせた共同手法であるUnrolling Safety Layer (USL)を提案する。
この領域のさらなる研究を容易にするため、我々は関連するアルゴリズムを統一パイプラインで再現し、SafeRL-Kitに組み込む。
論文 参考訳(メタデータ) (2022-12-12T06:30:17Z) - Defining Security Requirements with the Common Criteria: Applications,
Adoptions, and Challenges [17.700647389830774]
セキュリティ特性を持つICT製品の採用は、消費者の信頼と市場によるセキュリティ機能への信頼に依存している。
情報技術セキュリティ評価のための共通基準(Common Criteria for Information Technology Security Evaluation、CC)は、サイバーセキュリティ認証の国際規格である。
信頼性の高いサイバーセキュリティ向上のための保護プロファイル、勧告、および今後の方向性の開発に関するベストプラクティスが提示される。
論文 参考訳(メタデータ) (2022-01-19T05:05:33Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。