田島浩一,西村浩二,岸場清悟,相原玲二,
"セキュリティ脆弱性診断支援システムの構築",
分散システム/インターネット運用技術シンポジウム 2004, Jan 2004.
ネットワークの管理におけるセキュリティ対策に脆弱性診断ツールを用いた診断が効果的であることはよく知られている.しかし多くの場合、それは管理組織や商用サービスなどが定期的に行っているものが多く、自らが行ったセキュリティ対策の有効性を,即時性かつ容易に診断することができない.もちろん、自分自身でそれらの仕組みやツールを用意して脆弱性診断をすればいいのだが、それが困難であるのが現状である。そこで管理組織が脆弱性診断システムを用意し、認証の仕組みを用意することで、意図したユーザに対してのみ、誰でも自分のPCなどに対してセキュリティ診断ができるようなシステムを構築した.という論文である.
確かにこの手のシステムは,誰もがどこに対してでも発行できるようにすべきではない.なぜならばそれは他者/他組織/他国の計算機に対しての攻撃行為になる可能性があるからだ.そういう意味でこういう仕組みが必要だというのは理解できる.しかしふと思う疑問は,セキュリティ脆弱性診断システム自身にそういった状況を考慮した機能/仕組みはないのだろうか? という疑問である.この論文では、脆弱性診断システムとしてNessusを利用しているようだが、そういった機能があるかないかは調査してみる必要があるかもしれない.
あとは誰に対して、このセキュリティ脆弱性診断の実行を許諾し、その許諾された人は、どの計算機に対してセキュリティ脆弱性診断が実行できるのか? という機能提供の方針については簡単に、組織内管理者、サブネット(研究室単位?)管理者、一般ユーザとして分類し、それぞれに対して診断可能な計算機を限定している。ま、方法としては妥当である。
この論文は運用に焦点を当てたものなのだが、そういう観点からは、組織内でこういうサービスを提供し、「このセキュリティ診断はすべて対策済みである事を確認してください」とすることで組織内での最低限のセキュリティ対策レベルというのを具体的に例示するのは、下手に書面でセキュリティポリシーを設定するよりもいい方法だと思う。システム的には目新しい点は見受けられなかった。Webで作成されたインタフェースも、特別新しいものがあるようには見えない。
なお問題点としては、診断に時間がかかる事とその処理能力である。一般にセキュリティ脆弱性診断は長時間かかる事が多い。以前、受けた研修では診断項目数に依存するが、数日間にわたることもあると言っていた。この論文でも触れられているが、診断項目数を調整する必要があると考えられる。またなんらかの脆弱性が公表された時に、このシステムの利用が集中すると、サーバの処理能力が不足するのは明らかである。この論文では診断用サーバとして複数台用意することが可能であり、増設も容易なので問題にならないと言っているが、これは環境依存であるし、より長期的な評価も必要であろう。もちろん、利用可能なユーザを限定するという方法もありかもしれない。
なお類似の目的で行われた論文(国内)が存在するので、そちらも参考にすべきである > 自分
より安全な世界へ,のための一つの方法ではありますが,個人的にはあまり好きな方法ではありません.
# 毎日新聞に記事があったのですが、リンクURLを失ってしまった...
うーむ、IDとして使うのであれば、顔写真情報を銀行に預けなくても良いという条件付きで、一考の価値はあるかもしれないと思うが、Passwordとしてあれば、絶対に反対である.顔写真は秘密情報としては成立し得ない.なぜならば、私の顔写真は、誰でも収集可能であり、それが収集されている事を、当の本人が把握しきれないからである.印鑑の印影であれば、その印鑑にアクセスできる人だけが、なりすまして悪事を働くことができる.そういう意味では、ある程度、本人の把握可能な範囲で、犯人推定が可能かもしれない.しかし、これが顔写真だと、もはやその推定は、不可能になると言っても過言ではないだろう.もちろん、適当に印鑑を作成し、Brute-force攻撃をする事は可能であるが、その手続きが窓口で行わなければならないことを考えると、その実行可能性はかなり低いと言えるだろう.また顔写真が提供されれば、赤の他人が窓口で、第三者になりすまして預金を下ろすということは困難だと思われるが、これは窓口の係員の対応次第なのでなんとも言いがたい.
というわけで、一考の価値がないとは思わないが、その使い方には十分な配慮をすべきだと思う.当方としては、IDとして顔写真、Passwordとして印鑑であれば、今の状況よりも多少なりとも安全性は増すのでは? と思う.
Sean W.Smith, Eugene H.Spafford,
Grand Challenges in Information Security
IEEE Security & Privacy, Vol.2, No.1, Jan-Feb, 2004.
と大々的なタイトルに惹かれて読んでみました.
簡単にいうと,今後5,10年の間に解決しなければならない情報セキュリティに関する4つの課題を議論の末にまとめてみた.ということのようです.
もとネタは,ここにあるCRA Conference on "Grand Research Challenges" in Computer Science and Engineeringという会議での議論の結果のようで,その議論の中で特にセキュリティに特化した議論がこちら(CRA Conference on "Grand Research Challenges in Information Security & Assurance")で行われたようです.
この会議は議論の仕方が特殊で,いろんな分野の人を50人ばかり「招待(?)」し,議論してはまとめて,またそれを元に議論してはまとめて...を繰り返した結果,最終報告として4つのGrand Challengeにまとまったいうことのようです.議論の結果(成果)は,ビデオ,スライド,議論の参加者リスト,報道発表の資料が上記のWebページにあるので詳細を知りたい方はそちらをご覧頂きたい.と,"なげやり"なのもなんなので,自分の解釈でまとめると以下のようにまとまったということのようです.
1. Epidemic-style attacks
伝染型攻撃をなんとかして食い止める方法を確立しないといけないね.という話
2. Trustworthy large-scale systems
大規模なシステムはえてして安全になりえない.なんて言われている.これをなんとかしないといけないね.という話
3. Quantitative information system risk management
リスク管理の基準を,特に数値的に明確なるような方法で(金融業界のそれのように),確立しないといけないね.という話
4.End users security and privacy
一般ユーザがより安全にそしてプライバシを守れるようにしないといけないね.という話
です.言われてみれば至極一般的な話ですが,ま,課題としては落ちるところに落ちたという感じですね.個人的には4が特に大事になっていくのではと思っています
The CAPTCHA Project.
「Telling Humans and Computers Apart Automatically at Communication of the ACM, Vol.47, No.2, Feb 2004.
CMUの研究グループが行っている認証技術で「Most humans can pass, but current computer programs can not pass」とある通り,人間ならほとんどの人がパスできるが,現時点でのコンピュータプログラムではパスするのが困難である.という認証方法である.
アイデアは簡単で,文字が含まれている画像をゆがませて,認証画面に提示する.この画像に描かれている文字をパスワードとして入力されるという手法である.人間の任地能力を使えば簡単にできるが,コンピュータでは難しいだろう.という手法である.なおこの研究は別に画像中の文字だけに限ったものではなく,人間の認知能力を使えばほぼすべての人が簡単に処理できるが,現在のコンピュータプログラムでは極めて難しいものであればいいようで,音を応用した研究はすでに着手されており,同様の手法をドメイン管理組織のVeriSignも使っているらしい.ようするに人間にだけ情報を開示したい場合にこの方法を使えばいい.ということだ.このように人間だけに処理を行ってほしい場面が必要になったきっかけはWeb上でのアンケートである.Webを通じたアンケートをしたら,その結果を操作するべく自動的にアンケートを答えるようなプログラムを作成され,結果として得られたアンケート結果は全く意味のないものになってしまった.そこで本当に人間だけがアンケートに答えられるようにする必要性が出てきたのである.これと同様の状況はFree E-mailサービスの登録画面や,Search Engineの情報収集ロボットに情報収集されたくないページへの対応という応用もありうると述べている.またセキュリティらしい応用として,spamや wormへの対応というのが考えられておりhttp://www.spamarrest.com/がすでに研究に着手しているようである.また認証システムへの辞書攻撃やbrute-force攻撃に対する対処法としても明らかに効果が見込めると述べている.確かにおっしゃる通りである
しかし、これを看破する方法として,人間による分散処理でそのような認証画像のキーワードを抽出してもらい,その[画像-キーワード]組の情報を集めるという方法が指摘されている.
The ESP GameというWebがあるが,これはある画像をユーザに見せ,その画像から推測されるキーワードを入力してもらう.これによりなんらかのゲームができるらしい(?)が,問題はこのような手法でCAPTCHA の文字列を集めることができる可能性があるということだ,つまり既存のパスワード認証において,ユーザがよく使うと推測される辞書を作るのと同じことであろうと推測する.このESP Gameがアダルトサイトに設置され「画像を見たければ画像に描かれているも時を入力せよ」と促されたら,誰だって正しい文字列を入力するだろう.
しかし、まぁ〜アイデアとしては非常にシンプルだが、本当に興味深いシステムである. Articleの中に"How lazy cryptographers do AI."とあるが、これはある程度あたっている事実だなと感じると同時に,やはり情報セキュリティは、システムも大事だが、それと同等かそれよりも人間を相手として考えなければいけない研究分野だなと思ったり.
斎藤 純一郎,櫻井 幸一,
"RFIDタグの匿名性を高めたID情報可変方式",
SCIS2004 2004年 暗号と情報セキュリティシンポジウム, Jan 2004.
RFIDタグにはlocation privacy problemと呼ばれる二種類のプライバシ問題が存在する.1つは所有物を第三者に知られることであり,もう1つはRFIDを持つ人の行動を追跡(監視)することが可能なことである.その問題を解決するために筆者らはRFIDのIDを可変化することで匿名性を持たせることによる方法を提案している.またこの方法はRFIDの情報改ざんにも考慮している.
RFIDはその利便性がいろいろと提案され実用段階に入りつつあるが,その方でプライバシ問題が大きな問題として残されている.この問題は location privacy問題とも言われ,大きく二種類の問題が存在する.一つは人の所有物が他人に知られてしまう問題である.なんの本を持っているかで,趣味や思想を知られたり,下着の情報を知られることで,体のサイズなどが知らないうちに他人に知られてしまう可能性などがこれにあたる.もう一つは行動を他人に追跡される可能性がある.同一IDのRFIDタグを追跡することで,そのIDを持っている人の行動を追跡(監視)することができてしまうのである.よってこれらのことが不能になるようなプライバシ保護が必要とされている.
これに対し筆者らはGolleらによって提案された普遍再暗号化(Universal Re-encryption)を用いてRFIDタグの匿名化を行い,プライバシを保護する手法を提案している.普遍再暗号化は通常の暗号化とは異なり,再暗号化の際に公開鍵の知識を必要とせず,再暗号化のための乱数を決定することによって再暗号化が行われる.また暗号化の処理とは異なり,再暗号化には平文に関する情報は一切必要ない.復号化の際には秘密鍵を用いれば何度再暗号化を行った暗号文でも一度の復号化で平文に戻すことができる.さらに普遍再暗号化は強秘匿性を満たす.この特性は暗号化の処理と同様に,再暗号化の際にも満たされており,暗号文を再暗号化した暗号文から,元の暗号文に関する情報は一切漏れないという暗号化手法である.
この暗号化を用いたID情報可変方式を用いたシステムは,RFID,データベースの他にID情報読み取り用 RFIDリーダとワンタイムパッド更新用RFIDリーダによって運用される.最後のリーダは再暗号化で用いられるワンタイムパッド(再暗号化のための乱数を生成するパッド)を更新するためのリーダである.ここからは自分の理解であるが,要するにワンタイムパッドが乱数を生成できるあいだは読み取りリーダによってIDが読み取られるたびに,再暗号化が行われIDが変更される.したがってユーザが自発的にIDを更新するという行為をする必要がない.ただしこの乱数生成用ワンタイムパッドが乱数を生成できなくなった場合にはワンタイムパッド更新用リーダを用いてワンタイムパッドを更新しなければならない.というシステムである.これによりRFID内のIDは随時更新されるため匿名化され,上記のlocation privacyの問題を回避できるようになるというシステムである.
すると問題は街中に十分な数のワンタイムパッド更新用リーダがなければならなくなる.また秘密情報はデータベースに格納されるため,これらの情報の保持管理は厳重に行う必要がある.またRFIDが改ざんを防ぐことはできないが,検知は可能なようになっている.
滝澤 修,田中 秀磨,山村 明弘,
防災用RFIDのセキュリティ要件に関する考察,
2004年暗号と情報セキュリティシンポジウム(SCIS2004), Jan 2004.
災害時の「情報伝達手段」としてRFIDを利用することを研究しており,その際に必要となるであろうセキュリティ上の要件について検討,整理した論文である
セキュリティの論文として読むよりもRFIDのアプリケーションとしてこんな使い方もあるな.と考えさせられてしまった論文である(こういう使い方が普通なのかな? 無知すぎ? > 自分).RFIDの災害時の使い方としては3つの方法が提案されている.
1. 消防活動が困難な空間における消防活動支援情報システム
災害時には消防退院は壊れかけた建築物の中に入らなければならないが,そういった場合に迷子になることが知られている.これを防ぐために建物内の非常灯や避難路案内灯にRFIDをつけ,災害時にはRFIDから位置情報を発信できるようにしておく.災害時に消防隊員が建物内に入った場合には種々の方法に加えて非常灯などのRFIDから位置情報を取得することによって,倒壊している建物内でも現在地を確実に把握することを可能にする.
2. レスキュー用データキャリアによる被災者探索システム
理化学研究所等が研究しているシステムで,各建物の屋根に音声録音可能な機能を持つRFIDを設置しておく.災害時にはセンターからの信号によってこれらのRFIDが起動し,建物内(周辺)に向かって「どなたかいらっしゃいますか? 被災状況はいかがですか?」と呼びかける.これに被災者が応答した声をRFIDが録音する.これらの録音された情報は飛行船等の飛行物体によって情報が収集され,災害救助センターに通知される.これによってどこの建物にどのくらいの被災者や被害状況がでているかをより早く,確実かつ具体的に収集することが可能になり,ひいては救助作業に役立てることができる.
3. 無線タグを用いた非常時情報転送システム
この論文の筆者らが研究しているシステムで,街中の電柱や家屋の壁などにRFIDを設置しておく.災害発生時には,電柱のRFIDからは現在の送電状況を周囲に発信したり(「この周辺は現在停電中」),周囲近隣の人がこの周辺の被災状況など災害救助に役に立つ情報を記録しておくことができる.また家屋に埋め込まれたRFIDには,その家の住人に関する状況を記録しておき,あとで救助隊が来た時に災害救助に役立てることができる.つまり「この家の居住者は全員無事,市民ホールに非難している」と記録しておけば,救助隊は,この建物の調査を省略し,次の建物の調査にすすむことができる.また工場などの場合は「この工場内には危険物が残されている.安易に近寄るべからず」と記録しておけば,二次災害を防ぐことが可能になるというものである.
これらの防災用RFIDのセキュリティについて大事なことは「RFIDが移動しない」ということである.つまりlocation securityと呼ばれるPrivacy侵害の恐れはない.と言えるのである.逆に問題は,破壊行為や故障に対する耐性があることと,記録された情報の読み取りを誰ができるようにするのか? という問題がある.記録される情報は暗号化される.そのため誰でも読めることができるわけではなくなってしまうが,これが本当に災害時の救助支援として問題ないだろうか? とか,記録する際にも正規のユーザのみが書き込める領域と,誰でも書き込める領域を用意することで,記録されている情報の信頼性についても考慮する必要があると考えられる.などなど(一部私的考察あり)である.