コンピュータや周辺機器のデータ転送や保存，充電等の手段としてUSBが広く利用されている．一方，USBを悪用する脅威として，USBフラッシュドライブを介したマルウェア感染やUSB周辺機器になりすました機器で不正操作をする方法等，様々な脅威事例が報告されている．このような脅威に対してすべての対策を講じることは困難であり，対策すべき脅威への優先度をつけるためにセキュリティリスク分析が有効である．セキュリティリスク分析では，守るべき資産であるアセットの導出，アセットに対する脅威の分析，脅威のリスク評価，対策の施行という手順が一般的である．セキュリティリスク分析で最初に行われるアセット導出の主な方法としてアセットの分類によるガイドワード分析があるが，セキュリティリスク分析の知識や経験に左右される．そこで本論文では，周辺機器接続に関するセキュリティリスク分析のアセット導出手法として，分析対象の機器につながる周辺機器を洗い出し，周辺機器からアクセスできる機能や情報をアセットとして導出する手法を提案する．アセット導出の結果は，SysMLのブロック定義図と内部ブロック図で可視化される形で記述する．提案手法の評価としてiOS端末のアセット導出に提案手法を適用したケーススタディを行い，提案手法と従来手法で導出するアセットの比較を行った．その結果，従来手法とは異なる種類のアセットや警告から重要レベルの脅威の対象となるアセットの導出が可能であることが分かった．
USB is widely used for data transfer, electrical charging, etc. Security researchers report USB threats such as malware infections caused by USB flash drives and illegal operations with spoofed USB peripheral devices. It is impossible to employ measures against all threats because of their cost. Security risk analysis is considerably useful for setting the priorities of threats. General security risk analysis consists of the following steps: asset derivation, threat analysis of derived assets, threat evaluation, and employment of measures. The general asset derivation method applied at the beginning of security risk analysis is guide word analysis. However, this method requires professional knowledge and experience of security risk analysis. In this paper, we propose an asset derivation method for the security risk analysis of peripheral device connections. This method determines the peripheral devices that connect to an analysis target device and its information and functions that the peripheral devices can access. We describe asset derivation results using the block definition diagram and internal block diagram of SysML to visualize the results. We evaluate the proposed method by applying it to derive the assets of an iOS device and comparing the assets derived using the proposed and general methods. We found the assets derived using the proposed method contain medium and high security risk assets.