5/22,23に横浜で開催された情報処理学会 コンピュータセキュリティ研究会 (CSEC41/SPT1)で研究成果を発表しました.
タイトルは「画像認証に対して未利用者が受ける印象に関する調査」です
今回「情報セキュリティ心理学とトラスト研究グループ」が発足したとのことで、そういう場での議論としては適切かなという事で望みました.
質疑応答ではいくつかのご指摘をいただきました.それらの指摘は至極ごもっとで、あまりにも"ざっくり"とした調査だったなというのが最大の反省点でした.
この反省を基に今後もユーザの視点から見た認証システムの"見え方"を調査し、認証システムの将来を模索する上で参考になるようななんらかの要素/問題点を見いだせれば良いなと考えています.
-
なお今回の研究会にについての私的な感想
* 情報セキュリティ心理学とトラスト(SPT)研究グループの活動について
この時の発表資料が公開されています.この分野に興味のある人は是非一度見ておくべき資料だと思います.示唆に富むとともに、この研究グループの主たる領域が何かを知ることができます.理由の説明が大事なんだということを主張されていましたが、この言葉、育児に関する記事でも最近目にした言葉だなと思ったり.大人も子供も同じレベルか? なんて思いながら聞いていました.
* ネットワークタイムスタンプによるリモート仮想マシン検出
仕組みとしては非常に興味深いし、有効性も疑いがない.が、根本的な問題として「仮想マシンである = honeypotである」という点は常識として疑いの余地なしでよいのだろうか?という点が気になった. また仮に現状でそれは常識的な認識だとしても、今後Production Serverが仮想化によって集約されはじめた時、その有効性はどんどん低下してしまうのではないか? という点が個人的には気になる.個人的に知りたいのは、侵入を試みているサーバがhoneypotか正規のサーバかでであり、仮想マシンが稼働しているかどうかはその判断の一要素ではあるが本題ではないな〜とも思ったり.
他にもWebアプリケーションの脆弱性に対するツールやSQLインジェクションへの対策手法が提案されているが、そういったツールや対策が対象とするシステムや適用領域はそれなりに絞られてしまうのが現状なんだなというのを再認識した次第.
# もしかしてら誤解しているかも?