QUICK REVIEW

[論文レビュー] An Ontology-Based Approach to Security Risk Identification of Container Deployments in OT Contexts

Yannick Landeck, Dian Balta|arXiv (Cornell University)|Jan 7, 2026

Software System Performance and Reliability被引用数 0

ひとこと要約

この論文は、Container Security Risk Ontology (CSRO) を提案します。これは、OT コンテナ展開のセキュリティリスク識別を再現性があり相互運用可能なモデルベースのオントロジー駆動アプローチで実現するものです。ケーススタディと統合リスク識別ツールを通じて実証します。

ABSTRACT

In operational technology (OT) contexts, containerised applications often require elevated privileges to access low-level network interfaces or perform administrative tasks such as application monitoring. These privileges reduce the default isolation provided by containers and introduce significant security risks. Security risk identification for OT container deployments is challenged by hybrid IT/OT architectures, fragmented stakeholder knowledge, and continuous system changes. Existing approaches lack reproducibility, interpretability across contexts, and technical integration with deployment artefacts. We propose a model-based approach, implemented as the Container Security Risk Ontology (CSRO), which integrates five key domains: adversarial behaviour, contextual assumptions, attack scenarios, risk assessment rules, and container security artefacts. Our evaluation of CSRO in a case study demonstrates that the end-to-end formalisation of risk calculation, from artefact to risk level, enables automated and reproducible risk identification. While CSRO currently focuses on technical, container-level treatment measures, its modular and flexible design provides a solid foundation for extending the approach to host-level and organisational risk factors.

研究の動機と目的

OT コンテナ展開におけるセキュリティリスク識別の課題（ハイブリッド IT/OT、利害関係者の知識ギャップ、継続的な変化）を addressingする。
OT コンテナ向けに再現性が高く解釈可能で技術的に統合されたリスク識別アプローチを開発する。
敵対的行動、文脈、攻撃シナリオ、リスクルール、コンテナ artefacts を結ぶ Container Security Risk Ontology (CSRO) を作成する。
ケーススタディと統合リスク識別ツールを用いてアプローチを実証し、対処を自動化する。

提案手法

OWL 2 および RDF 標準に従う知識グラフとして CSRO を開発する。
5つのドメインを統合する：ATT&CK 技法、文脈シナリオ、攻撃シナリオ、リスク評価ルール、コンテナセキュリティ artefacts。
コンテナ展開特性と artefacts を ATT&CK 技法と結びつけ、自動推論を可能にする。
instantiated CSRO 知識グラフからリスクレベルを計算するために SPARQL クエリを使用する。
artefact を refine する設計科学研究プロセスを3回の反復で実施し、エンドツーエンドのリスク識別をデモンストレーションする。

Figure 1. Overview of our ontology-based approach to complement risk assessment for container deployments in OT contexts using the Container Security Risk Ontology (CSRO) and an integrated risk identification tool.

実験結果

リサーチクエスチョン

RQ1OT コンテキストにおけるコンテナ展開の再現性があり解釈可能で技術的に統合されたセキュリティリスク識別をどのように実現できるか？
RQ2CSRO を設計して敵対者の行動、文脈的前提、攻撃シナリオ、リスクルール、コンテナ artefacts を結びつけ、自動リスク識別を支援するにはどうすればよいか？

主な発見

CSRO はOT コンテナの構造化リスク識別を支援する5つのドメインを統合する。
instantiated CSRO 知識グラフは専用ツールを通じて自動リスク識別と対処導出を可能にする。
このアプローチは意味的関係とルールを介してコンテナ展開特性を MITRE ATT&CK 技法へ結びつける。
SPARQL クエリを用いた CSRO 知識グラフ上での自動リスク計算をデモンストレーションする。
設計はモジュール式で拡張性があり、将来的なホストレベルおよび組織リスク要因をサポートする。
ケーススタディは実世界のOT 展開 artefacts と標準（例：NIST、CIS）を用いてオントロジーを地につけ、適合性評価を支援する。

Figure 2. Overview of the five domains of our Container Security Risk Ontology (CSRO)

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。