論文の概要: strideSEA: A STRIDE-centric Security Evaluation Approach

• arxiv url: http://arxiv.org/abs/2503.19030v1
• Date: Mon, 24 Mar 2025 18:00:17 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-03-26 16:53:16.405765
• Title: strideSEA: A STRIDE-centric Security Evaluation Approach
• Title（参考訳）: strideSEA: stride中心のセキュリティ評価アプローチ
• Authors: Alvi Jawad, Jason Jaskolka, Ashraf Matrawy, Mohamed Ibnkahla,
• Abstract要約: strideSEAはSTRIDEを中央分類体系として統合し、脅威モデリング、攻撃シナリオ分析、リスク分析、対策レコメンデーションのセキュリティ活動に統合する。 strideSEAの応用は、実世界のオンライン免疫システムケーススタディで実証されている。
• 参考スコア（独自算出の注目度）: 1.996354642790599
• License:
• Abstract: Microsoft's STRIDE methodology is at the forefront of threat modeling, supporting the increasingly critical quality attribute of security in software-intensive systems. However, in a comprehensive security evaluation process, the general consensus is that the STRIDE classification is only useful for threat elicitation, isolating threat modeling from the other security evaluation activities involved in a secure software development life cycle (SDLC). We present strideSEA, a STRIDE-centric Security Evaluation Approach that integrates STRIDE as the central classification scheme into the security activities of threat modeling, attack scenario analysis, risk analysis, and countermeasure recommendation that are conducted alongside software engineering activities in secure SDLCs. The application of strideSEA is demonstrated in a real-world online immunization system case study. Using STRIDE as a single unifying thread, we bind existing security evaluation approaches in the four security activities of strideSEA to analyze (1) threats using Microsoft threat modeling tool, (2) attack scenarios using attack trees, (3) systemic risk using NASA's defect detection and prevention (DDP) technique, and (4) recommend countermeasures based on their effectiveness in reducing the most critical risks using DDP. The results include a detailed quantitative assessment of the security of the online immunization system with a clear definition of the role and advantages of integrating STRIDE in the evaluation process. Overall, the unified approach in strideSEA enables a more structured security evaluation process, allowing easier identification and recommendation of countermeasures, thus supporting the security requirements and eliciting design considerations, informing the software development life cycle of future software-based information systems.
• Abstract（参考訳）: MicrosoftのSTRIDE方法論は脅威モデリングの最前線にあり、ソフトウェア集約システムにおけるセキュリティのますます重要な品質特性をサポートする。 しかし、包括的セキュリティ評価プロセスにおいては、STRIDE分類は、セキュリティ開発ライフサイクル(SDLC)に関わる他のセキュリティ評価活動から脅威誘発、脅威モデリングを分離するためにのみ有用である、という一般的なコンセンサスがある。 我々は,STRIDEを中央分類体系として統合したSTRIDE中心のセキュリティ評価手法であるstrideSEAについて,脅威モデリング,攻撃シナリオ分析,リスク分析,対策レコメンデーションのセキュリティ活動に統合し,セキュアSDLCにおけるソフトウェアエンジニアリング活動と並行して実施する。 strideSEAの応用は、実世界のオンライン免疫システムケーススタディで実証されている。 STRIDEを単一統一スレッドとして使用し,(1)Microsoftの脅威モデリングツールを用いた脅威,(2)攻撃木を用いた攻撃シナリオ,(3)NASAの欠陥検出・防止(DDP)技術を用いたシステム的リスク,(4)DDPを用いた最重要リスクの低減に向け,既存のセキュリティ評価アプローチをSSTRideSEAの4つのセキュリティ活動に結び付ける。 その結果, オンライン免疫システムの安全性を定量的に評価し, 評価プロセスにおけるSTRIDEの役割とメリットを明確に定義した。 全体として、strideSEAの統一的なアプローチは、より構造化されたセキュリティ評価プロセスを可能にし、対策の識別と勧告を容易にし、セキュリティ要件をサポートし、将来のソフトウェアベースの情報システムのソフトウェア開発ライフサイクルを通知する設計上の配慮を導き出す。

関連論文リスト

• Safeguarding Virtual Healthcare: A Novel Attacker-Centric Model for Data Security and Privacy [3.537571223616615]
  遠隔医療提供は、保護された健康情報(PHI)に重大なセキュリティとプライバシのリスクをもたらした 本研究では,このようなセキュリティ事件の根本原因を調査し,攻撃者中心アプローチ(ACA)を導入する。 ACAは、全体的な攻撃に焦点を当てた視点を採用することで、既存の脅威モデルと規制フレームワークの制限に対処する。
  論文  参考訳（メタデータ） (2024-12-18T02:21:53Z)
• Resilient Cloud cluster with DevSecOps security model, automates a data analysis, vulnerability search and risk calculation [0.0]
  この記事では、Webアプリケーションをデプロイする主な方法、製品開発の全段階における情報セキュリティのレベルを高める方法について紹介する。 クラウドクラスタはTerraformとJenkinsパイプラインを使用してデプロイされ、脆弱性のプログラムコードをチェックする。 リスクと損失を計算するアルゴリズムは、統計データとFAIR情報リスク評価手法の概念に基づいている。
  論文  参考訳（メタデータ） (2024-12-15T13:11:48Z)
• Defining and Evaluating Physical Safety for Large Language Models [62.4971588282174]
  大型言語モデル (LLM) は、ドローンのようなロボットシステムを制御するためにますます使われている。 現実世界のアプリケーションに物理的な脅威や害をもたらすリスクは、まだ解明されていない。 我々は,ドローンの物理的安全性リスクを,(1)目標脅威,(2)目標脅威,(3)インフラ攻撃,(4)規制違反の4つのカテゴリに分類する。
  論文  参考訳（メタデータ） (2024-11-04T17:41:25Z)
• Building a Cybersecurity Risk Metamodel for Improved Method and Tool Integration [0.38073142980732994]
  我々は,初期リスク分析にモデル駆動アプローチを適用した経験を,その後のセキュリティテストに関連して報告する。 私たちの仕事は、さまざまなツール間で情報のトレーサビリティをマップ、同期、保証するために使用される共通のメタモデルに依存しています。
  論文  参考訳（メタデータ） (2024-09-12T10:18:26Z)
• EARBench: Towards Evaluating Physical Risk Awareness for Task Planning of Foundation Model-based Embodied AI Agents [53.717918131568936]
  EAI(Embodied AI)は、高度なAIモデルを現実世界のインタラクションのための物理的なエンティティに統合する。 高レベルのタスク計画のためのEAIエージェントの"脳"としてのファンデーションモデルは、有望な結果を示している。 しかし、これらのエージェントの物理的環境への展開は、重大な安全性上の課題を呈している。 本研究では,EAIシナリオにおける身体的リスクの自動評価のための新しいフレームワークEARBenchを紹介する。
  論文  参考訳（メタデータ） (2024-08-08T13:19:37Z)
• Mapping LLM Security Landscapes: A Comprehensive Stakeholder Risk Assessment Proposal [0.0]
  本稿では,従来のシステムにおけるリスク評価手法のようなツールを用いたリスク評価プロセスを提案する。 我々は、潜在的な脅威要因を特定し、脆弱性要因に対して依存するシステムコンポーネントをマッピングするためのシナリオ分析を行う。 3つの主要株主グループに対する脅威もマップ化しています。
  論文  参考訳（メタデータ） (2024-03-20T05:17:22Z)
• The Art of Defending: A Systematic Evaluation and Analysis of LLM Defense Strategies on Safety and Over-Defensiveness [56.174255970895466]
  大規模言語モデル(LLM)は、自然言語処理アプリケーションにおいて、ますます重要な役割を担っている。 本稿では,SODE(Safety and Over-Defensiveness Evaluation)ベンチマークを提案する。
  論文  参考訳（メタデータ） (2023-12-30T17:37:06Z)
• Leveraging Traceability to Integrate Safety Analysis Artifacts into the Software Development Process [51.42800587382228]
  安全保証ケース(SAC)は、システムの進化中に維持することが困難である。 本稿では,ソフトウェアトレーサビリティを活用して,関連するシステムアーチファクトを安全解析モデルに接続する手法を提案する。 安全ステークホルダーがシステム変更が安全性に与える影響を分析するのに役立つように、システム変更の合理性を設計する。
  論文  参考訳（メタデータ） (2023-07-14T16:03:27Z)
• Towards Safer Generative Language Models: A Survey on Safety Risks, Evaluations, and Improvements [76.80453043969209]
  本調査では,大規模モデルに関する安全研究の枠組みについて述べる。 まず、広範囲にわたる安全問題を導入し、その後、大型モデルの安全性評価手法を掘り下げる。 トレーニングからデプロイメントまで,大規模なモデルの安全性を高めるための戦略について検討する。
  論文  参考訳（メタデータ） (2023-02-18T09:32:55Z)
• Evaluating Model-free Reinforcement Learning toward Safety-critical Tasks [70.76757529955577]
  本稿では、国家安全RLの観点から、この領域における先行研究を再考する。 安全最適化と安全予測を組み合わせた共同手法であるUnrolling Safety Layer (USL)を提案する。 この領域のさらなる研究を容易にするため、我々は関連するアルゴリズムを統一パイプラインで再現し、SafeRL-Kitに組み込む。
  論文  参考訳（メタデータ） (2022-12-12T06:30:17Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。