[論文レビュー] The Security Assessment Domain: A Survey of Taxonomies and Ontologies
本稿は、情報セキュリティ評価分野におけるオントロジーと分類体系に関する体系的文献レビューを提示しており、47のオントロジー、22の分類体系、11のサーベイを同定した。本稿では、研究の質を評価するための新規の評価分類体系を提唱し、脆弱性同一定義、自動化された評価、セキュリティ標準化といった分野における深刻なギャップを明らかにした。
The use of ontologies and taxonomies contributes by providing means to define concepts, minimize the ambiguity, improve the interoperability and manage knowledge of the security domain. Thus, this paper presents a literature survey on ontologies and taxonomies concerning the Security Assessment domain. We carried out it to uncover initiatives that aim at formalizing concepts from the Information Security and Test and Assessment fields of research. We applied a systematic review approach in seven scientific databases. 138 papers were identified and divided into categories according to their main contributions, namely: Ontology, Taxonomy and Survey. Based on their contents, we selected 47 papers on ontologies, 22 papers on taxonomies, and 11 papers on surveys. A taxonomy has been devised to be used in the evaluation of the papers. Summaries, tables, and a preliminary analysis of the selected works are presented. Our main contributions are: 1) an updated literature review, describing key characteristics, results, research issues, and application domains of the papers; and 2) the taxonomy for the evaluation process. We have also detected gaps in the Security Assessment literature that could be the subject of further studies in the field. This work is meant to be useful for security researchers who wish to adopt a formal approach in their methods and techniques.
研究の動機と目的
- 情報セキュリティおよびテスト・アセスメント分野における概念を形式化する取り組み(オントロジーおよび分類体系)を同定・分析すること。
- 現在、専門家の直感に大きく依存しているが、セキュリティ評価分野における構造的で形式化された知識の欠如を是正すること。
- セキュリティ評価研究の質と貢献度を評価する体系的なフレームワークを構築すること。
- セキュリティ評価手法や技術の形式化を促進するための未研究分野を特定し、今後の研究を導くこと。
提案手法
- IEEE Xplore、ACM Digital Library、Scielo、ProQuest、ScienceDirect、SpringerLink、Google Scholarの7つのデータベースを対象に体系的文献レビューを実施した。
- セキュリティ、プライバシー、信頼性、オントロジー、分類体系、テスト、評価、評価に関するキーワードを用いて検索文字列を定義した。
- 新規性、被引用回数、関連性、概念的貢献度に基づく含む・除外する基準を適用した。
- 主たる貢献度に基づき、138件の同定された論文を3つの主要カテゴリ(オントロジー、分類体系、サーベイ)に分類した。
- 研究課題、応用分野、方法論的質など11の次元を有する新規の分類体系を開発・適用し、選定された研究を評価・比較した。
- 要約表および比較分析を含む、定性的および定量的分析を80件の選定論文(47件のオントロジー、22件の分類体系、11件のサーベイ)に対して実施した。
実験結果
リサーチクエスチョン
- RQ1情報セキュリティ評価プロセスに適用可能な、知識形式化のためのアプローチおよび技術は何か?
- RQ2オントロジーと分類体系は、セキュリティ評価における概念的曖昧性をどのように低減し、相互運用性を向上させることができるか?
- RQ3既存のセキュリティ評価オントロジーおよび分類体系における主な研究課題、応用分野、および方法論的特徴は何か?
- RQ4現在の文献において、セキュリティ評価の形式化を促進するための研究ギャップは何か?
- RQ5セキュリティ評価研究の質と貢献度を評価するための標準化されたフレームワークは、どのように設計できるか?
主な発見
- 47のオントロジーと22の分類体系が、セキュリティ評価分野における主な貢献と同定された。最近の研究は、基盤的知識(RI-FMK)の形式化に焦点を当てている。
- 再利用知識(RI-RUS)、評価プロセスの自動化(RI-APR)、評価カバレッジの拡大(RI-CAS)、セキュリティ基準の定義(RI-SSI)といった分野に顕著な研究ギャップが存在する。
- eヘルス(AD-EHE)、監査(AD-AUD)、イベント処理(AD-EVT)、サービス指向アーキテクチャ(AD-SOA)、エンタープライズガバナンス(AD-EGV)といった応用分野に対応する研究は一切見つからなかった。
- 最近の研究は応用分野の拡大を示しており、モバイルセキュリティ(AD-MOB)やIoT(AD-IOT)といった新しい分野の形式化の可能性を示唆している。
- サーベイ論文は11件にとどまり、一部(例:[95]、[97])は有用な比較を提供しているが、古さと範囲の狭さのため、更新が求められる。
- 提案された評価分類体系により、セキュリティ評価研究の体系的分類と質の評価が可能となり、今後の貢献(例:手法(MC-MT)、システム(MC-ST))の統合にも応用可能である。
より良い研究を、今すぐ始めましょう
論文設計から論文執筆まで、研究時間を劇的に削減しましょう。
クレジットカード登録不要
このレビューはAIが作成し、人間の編集者が確認しました。