第33回 コンピュータセキュリティ (CSEC) 研究発表会

コンピュータセキュリティ研究会(CSEC)研究発表会を下記の通り開催します。研究会に関連する幅広い分野の方々からのご応募ならびにご参加をお待ちしています。
■ 日時
平成18年05月12日(金)

■ 場所
筑波大学  総合研究棟B棟 1階 0112講義室
〒305-8573 茨城県つくば市天王台1-1-1

■ 交通
秋葉原駅 <---> つくばセンター:つくばエクスプレス
東京駅 <---> つくばセンター:高速バス
つくばセンター <---> 会場: 大学循環バス(右回り)または「筑波大学中央」行きバス
             いずれも第一学群棟前下車(目前の高層の新しい建物)

交通のその他の詳細情報は、以下をご参照願います。

表示範囲 広域エリア|東京都内|筑波キャンパス
表示形式 施設名称のみ|住所|電話番号
道順案内 常磐自動車道: 桜土浦IC つくば牛久IC 谷田部IC
動画案内 常磐自動車道: 谷田部経由道順
バス案内 JR常磐線経由: 土浦駅 荒川沖駅 ひたちのうしく駅
循環バス案内: つくばセンター


■ 発表内容

(発表件数:14件)⇒変更後:(発表件数:12件)
講演時間20分+質疑応答5分=25分/件
(招待講演: 1件)
講演時間50分+質疑応答10分=60分/件

■プログラム

セッション1[10:15 - 12:20]⇒変更後:[10:40 - 12:20]
(1) 通信頻度情報を用いた鍵配送の効率化
舩山徹雄 ((株)電通国際情報サービス)
今村翔 (筑波大学システム情報工学研究科)
岡本栄司 (筑波大学システム情報工学研究科)

誰もが容易にネットワークに接続できる環境を持ち,新しい形のサービスを利用することができるようになった反面,情報の漏洩・改ざん・なりすましなどの新たな脅威が生まれている.安全な通信のためには暗号技術を用いるが,鍵の管理にはリスクが多く,鍵生成や鍵配送においても,当事者同士ではなくサーバを利用することがある.しかし,サーバを利用する場合,利用者の増加に従ってサーバの負荷も増大していくという問題がある.本研究では,鍵配送を行うサーバの負荷を軽減することを目的として,過去の利用者間の通信頻度情報を利用し,サーバの鍵配送回数を減少させる木構造の構成方法について提案する.

(2) 分類された情報セキュリティ対策に依存する脅威発生率を導入したリスクアセスメントモデル
山口高康 (NTTドコモネットワークマネジメント開発部)
青野博 (NTTドコモネットワークマネジメント開発部)
本郷節之 (NTTドコモネットワークマネジメント開発部)
松浦幹太 (東京大学生産技術研究所)

リスクアセスメントに用いられる脅威発生率は、投資によって変化し、最適投資に影響を与える。しかし、従来のシステムセキュリティ設計手法では、ヒューリスティックに設定した脅威発生率を用いて事故率を求め、その事故率を用いて、複数の設計案の候補の中から見込み残存資産が最も多くなる設計案を選び出すという方法がとられていた。そこで、本研究では、投資後の脅威発生率を反映して、セキュリティに対する最適投資を調節する手法を提案する。本稿では、提案手法の有効性を調べるために、設計事例と事故率の統計データに基づいて、事故率レベルの低い設計案を選択するシミュレーションを行った。その結果、ある条件の下に限られるが、提案手法によって見込み残存資産がより多くなる設計案を選択することができる傾向があることを示した。

(3) IDのリサイクルによる匿名化の提案
川崎明彦 ((株)日立製作所システム開発研究所)
佐藤嘉則 ((株)日立製作所システム開発研究所)
森田豊久 ((株)日立製作所システム開発研究所)
森藤元 ((株)日立製作所システム開発研究所)

個人情報保護法の施行に伴って,プライバシ保護の社会的な関心が高まっており,安心・安全を技術的に確保するシステムが求められるようになってきている.一方,今後も続くであろうIT技術の進歩は,個人に関して収集・蓄積される情報の種類や量を増加させ,悪意を持った人物が興味本位で覗いたり,本来とは別の目的で利用する機会の増加を助長する懸念がある.本稿では個人と情報の関連性に焦点を当て,新たなプライバシ保護技術としてリサイクルIDを提案する.リサイクルIDは匿名化手法の一種であり,その基本コンセプトはIDの交換である.個人が持つIDを他の個人が持つIDと随時交換して使用することにより,IDからの個人特定を困難にする.本稿ではリサイクルIDの基本コンセプト,適用例,評価実験について述べる.

(4) 利用履歴を秘匿できるコンテンツ配信・課金方式の改良
飛田孝幸 (情報セキュリティ大学院大学,NECソフト株式会社)
山本博紀 (中央大学)
土井洋 (情報セキュリティ大学院大学)
真島恵吾 (NHK放送技術研究所)

近年,高速・広帯域の通信ネットワークの急速な普及により,映像・音楽等のコンテンツ配信サービスの利用者が増加している.また,サーバ型放送などデジタル放送の高度化により,放送・通信連携による高度な情報サービスが期待されている.これらのサービスではコンテンツの利用履歴や利用傾向はプライバシ保護の観点から秘匿することが望ましい一方,有料サービスにおいては,視聴内容に応じて利用料金が正確に計算され利用者に正しく課金される必要がある.本稿では,これらの要件を満たす利用履歴を秘匿できるコンテンツ配信・課金方式の一つとして,Atenieseらにより提案されたグループ署名を利用し,利用者の計算・通信コストが利用可能なコンテンツの総数に依存せず利用したコンテンツ数のみに依存する方式を提案する.

セッション2 [13:20 - 14:35]
(5) CAPTCHAを用いた個人情報漏えい防止データベースの実装
柳優 (中央大学大学院理工学研究科情報工学専攻)
千葉雄司 (中央大学研究開発機構)
士居範久 (中央大学大学院理工学研究科情報工学専攻)

近年,個人情報の漏えい事件が頻発しており,各組織には個人情報の漏えいを防止する対策が求められている.本研究では,情報漏えい対策の一環として,個人情報を格納するデータベースに対する攻撃のうち,データベースをプログラムで解析し,個人情報の一覧を抽出,売却する攻撃を防ぐ技法を提案する.提案技法では,プログラムによる解析を防ぐため,データベースの検索に際して,CAPTCHA(Completely Automated Public Turing Test to Tell Computers and Humans Apart)を使って,検索者が人間か否か認証する.より具体的には,データベースの構築に際して,個々の個人情報を平文のままデータベースに登録せず,かわりに,まず,個々の個人情報を個別の暗号鍵を使って暗号化し,次に,その復号鍵を描画した画像を作成し,作成した画像と暗号化した個人情報のペアをデータベースに登録する.復号鍵を含む画像は,CAPTCHAで使う,人間には読解可能だが,プログラムには読解困難なものにする.データベースの検索の際には,まず,検索者が人間か否か認証するために,データベース管理システムが,検索対象の個人情報とペアで登録されている画像を,検索者に提示して,その中に描いてある復号鍵を入力するよう求め,次に,入力された復号鍵を使って個人情報を復号,表示する.本論文では更に,提案したデータベースを,損害保険会社における自動車保険の外交業務に適用することを検討する.

(6) アノマリコネクションツリーを用いたサイレントワームの早期検知手法の提案
川口信隆 (慶應義塾大学理工学部情報工学科)
重野寛 (慶應義塾大学理工学部情報工学科)
岡田謙一 (慶應義塾大学理工学部情報工学科)

本論文では,イントラネットやLAN内におけるサイレントワームの検知手法を提案する.既存の検知手法の多くは,ワームに感染したホストが起すアドレススキャン等の異常なネットワーク活動を検知する.このため,予め脆弱性を持つホストのリストを利用して,静かに感染活動を行うワームを検知することは難しい本論文ではこのようなワームを検知するために,アノマリコネクションツリーメソッド(Anomaly Connection Tree Method, ACTM)を提案する.ACTMは多くのワームの感染活動に見られる2つの特徴を検知に利用する.1つ目は,感染コネクションをエッジ,ホストをノードとするツリーが構築されることである.2つ目は,ワームが次の感染先ホストを選択する時,自身が感染しているホストがどのホストと頻繁に通信を行うかということを考慮しないことである.シミュレーションにより,ACTMがワームの感染活動の初期段階(感染ホスト数が全ホスト数の数パーセント程度)で検知を行える事を示す.

(7) 信頼されたJava Web Startアプリケーションの悪用に対する一考察
兒島尚 ((株)富士通研究所)
鳥居悟 ((株)富士通研究所)

RIA(Rich lnternet Application)とよばれるWebアプリケーションのクライアント側技術が広く利用されているが、信頼されたプログラムが攻撃者に悪用されるという問題がある。我々は過去に、RIAの一つであるJavaアプレットについて、再構成攻撃という攻撃により信頼されたJavaアプレットが悪用される危険性を指摘した。この攻撃は開発者の注意だけでは対策が難しい。本論文では、Javaアプレットに類似のRIAであるJava Web Startについて、この攻撃の可能性を考察する。

招待講演 [14:35 - 15:35]
(8) 【招待講演】ROOTKITの脅威とその現状
村上純一 (ラック)

セッション3 [15:45 - 18:15]⇒変更後:[15:45 - 17:50]
(9) 中国語迷惑メールにおけるベイジアンフィルタの適用と評価
王戦 (九州大学大学院システム情報科学府情報工学専攻)
堀良彰 (九州大学大学院システム情報科学研究院)
櫻井幸一 (九州大学大学院システム情報科学研究院)

迷惑メールに対する,ベイズ確率を用いた統計的なフィルタリング(いわゆるベイジアンフィルタ)の研究は以前から行われていたが,2002年に発表されたP.Grahamの論文“A plan for spam”[1]は人々の注目を集め,ベイジアンフィルタを実装したソフトウェアが多数開発されるようになった.ベイジアンフィルタリング[4][5][8]に対する研究は,日本語と英語の電子メールについては盛んである.しかし,中国語闇の電子メールに対しては今まで学術的な解析が行われていなかった.そこで本論文では,中国語の電子メールを処理する際のベイジアンフィルタリングのパラメータと迷惑メール判定精度の関係について分析し,パラメータの最適値について考察した.

(10) マトリックス分解によるパケットフィルタリングルールの分析−多段分析と同一性分析−
松田勝志 (NECインターネットシステム研究所)

企業や組織のネットワークを外部からの不正なアクセス等から守る方法の一つにパケットフィルタリングがある.パケットフィルタリングを適切に運用管理するには,複雑で多数のルールを正確に把握しなければならない.更にフィルタリングシステムが複数存在する場合や,書き方の異なる設定があるため,フィルタリングシステム管理のコストは総じて高価である.本稿では,パケットフィルタリングのルール集合を詳細に分析することができるマトリックス分解とそれを用いた分析手法について述べる. 多段分析は直列に配置された複数のパケットフィルタリングシステムの挙動をシミュレートする. また同一性分析は書式の異なるルール集合間でフィルタリングの意味が同じかどうかを検証する.これらの分析を実装したシステムを用いることで複数のパケットフィルタリングシステムを管理することが容易になる.

(11) 研究室における個人情報マネジメントに関する研究
浜田良樹 (東北大学大学院情報科学研究科)

2005年4月に全面施行された個人情報保護法と関連の法規は社会に大きな影響を与えた。これは大学にとっても重要な問題であって、各大学で個人情報保護に関する規程が整備されているが、知的財産の場合と同様に、組織としての大学が関与して個人情報のマネジメントを行うということは、未だ一般的とは言えない。したがって、組織としての個人情報マネジメントが軌道に乗るまでの間、各研究室において、情報公開とプライバシーの保護のバランスを考慮して自主的なマネジメントを行うことが重要となる。研究室における最低限なすべきことは@個人情報の利用目的を特定し、A利用目的を学生に通知し、B管理者を置いて個人データを安全に管理し、C情報セキュリティの重要性を構成員に周知徹底すること、の4点である。

(12) 電子認証に基づく情報サービスにおける社会的行為の成立要件の考察
山崎重一郎 (近畿大学産業理工学部)

現在の日本の電子署名法は、自然人による電子署名に対して一定の法的効力を認めるものである。電子認証や自然人以外の主体による電子署名についての制度的枠組みはまだ存在していない。本論文は、電子認証や自然人以外の主体による電子署名が社会的行為として成立するための共通要件を発話行為論の観点と自動署名や電子認証によるサービス必要とする応用システムの現状から分析する。そしてそのような情報システムによる社会的行為の成立を支える共通アーキテクチャの基本要件について考察する。

(13) 人文系大学生の情報セキュリティ意識とスキル
松村真木子 (国立保健医療科学院協力研究員)

情報社会において,一般エンドユーザーの危険に遭遇する可能性が増加している。情報リテラシー能力がある人文系学生の情報セキュリティ意識と大学入学前のセキュリティ学習経験について調査を実施した。大学入学前のセキュリティ学習経験は個人差があるが,個人情報管理意識に効果が認められた。しかし,個人情報管理のように理念として理解できる項目については実行しやすいが,パソコンの具体的な仕組みを理解した上で,技術的な操作が必要になる項目についてはセキュリティ対策を講じるスキルが不足している。大学において,パソコンおよび汎用OSの仕組みを理解するための基本的な知識やインターネットの具体的なセキュリティ対策技術を実習として加えることが必要である。


[home] 情報処理学会電子図書館オンデマンドサービス

Valid HTML 4.01! Valid CSS!