著者
森 達哉
出版者
日本セキュリティ・マネジメント学会
雑誌
日本セキュリティ・マネジメント学会誌 (ISSN:13436619)
巻号頁・発行日
vol.33, no.3, pp.3-15, 2020 (Released:2020-03-15)
参考文献数
34

機械学習とセキュリティは異なる分野で独立に発展してきた技術である.各技術の有用性と社会的重要性が高まるにつれ,両者を融合したクロスオーバーの領域が盛んに研究されるようになった.それらの研究は(A) 「機械学習を用いた防御技術」,(B) 「機械学習を用いた攻撃技術」,(C) 「機械学習アルゴリズムに対する攻撃・防御技術」の3 つのテーマに大別することができる.(A) は比較的古くから研究がなされてきているが,(B) と (C) は比較的新しい研究領域であり,攻撃技術を対象とすることに大きな特徴がある.本稿では特に (B) と (C),すなわち機械学習と「オフェンシブセキュリティ」に関わる研究領域に焦点を当て,各領域の概略と具体的な研究事例を解説する.
著者
甘利 康文
出版者
日本セキュリティ・マネジメント学会
雑誌
日本セキュリティ・マネジメント学会誌 (ISSN:13436619)
巻号頁・発行日
vol.34, no.3, pp.3-21, 2021 (Released:2021-03-12)
参考文献数
62
被引用文献数
1

「安心」という言葉が指し示しているそのものは主観,そして概念であって,自然界に存在するものではない.そのため,一般に科学的とされている方法論によっては,安心の本質,すなわち「安心とは何か」は追究しきれない.本研究では,古今東西,文化文明の種類を問わず,人々に安心感を提供し続けている存在である広義の宗教概念,「レリギオ」を対象に,現象学を基盤とする科学論の方法論を適用して,そこに潜在する「人々に安心を感じさせる構造」の抽象を試みた.レリギオから抽象された安心感を生み出す構造は,人々 の意識に「(a)異なる存在としての〈大いなる力〉が立ち現れていること」,および「(b)いざという時,その〈大いなる力〉が,自分を助ける側に立ってくれるだろうという感覚(立ち現れ)があること」に集約される.これら2 つを再構成し,社会に実装することで,人々に安心感をもたらための制度的な社会インフラを作ることが可能となる.
著者
恵木 正史
出版者
日本セキュリティ・マネジメント学会
雑誌
日本セキュリティ・マネジメント学会誌 (ISSN:13436619)
巻号頁・発行日
vol.34, no.1, pp.20-27, 2020 (Released:2020-08-16)
参考文献数
30
被引用文献数
2

深層学習モデルを代表とした機械学習技術の進展に伴い,その活用範囲が急速に広がり,人命や財産に関わる重要な意思決定に使うニーズが増大している.しかし,深層学習モデルなどの機械学習モデルは高度に複雑な構造物であり,人がその動作の全容を把握するのは困難であるため,実質的なブラックボックスとなっている.そのため,機械学習モデルの予測結果を安心して業務に使えないという問題が生じている.そこで,近年機械学習モデルの予測根拠を説明するXAI(eXplainable AI)技術の研究が急速に進み,多種多様な技術へと発展している.XAI技術は大きく,既存の機械学習モデルを説明する技術であるブラックボックス型と,学習過程や構造が人にとって解釈可能な新型の機械学習モデルであるトランスペアレント型とに大別される.本稿では,研究の進展が著しく,汎用性の高いブラックボックス型にフォーカスする. ブラックボックス型も説明の種別や,対象とする機械学習モデルの種別に応じて多種多様な技術が提案されている.本稿ではそれらを体系的に整理して俯瞰すると共に,近年のXAI技術を理解する上で欠かせない2つの代表的な技術,すなわち,Shapley値とInfluence Functionについて解説する.さらに,これらのXAI技術を悪用すれば,新たな攻撃のリスクとなりうる点について述べる.
著者
西山 晃
出版者
日本セキュリティ・マネジメント学会
雑誌
日本セキュリティ・マネジメント学会誌 (ISSN:13436619)
巻号頁・発行日
vol.34, no.3, pp.22-32, 2021 (Released:2021-03-12)
参考文献数
15

テレワークの推進に向け書面規制、押印、対面規制についての見直しが規制改革推進会議を中心として推進されている。しかしながら必要なのは書面への押印を廃止することではなく、押印が必要な書面による手続きのデジタル化である。書面への押印廃止のリスクとそのデジタル化に伴うリスクは別物であり、デジタル化に伴うリスク評価を行い、対策の検討が必要となる。すなわちオンラインでの「本人確認」や「授受データの真正性」、「取引事実の否認防止」などをどのような信頼レベルで担保すべきかデジタル化を行う手続き、業務のリスクに応じた検討が必要となる。それらの検討は「行政手続におけるオンラインによる本人確認の手法に関するガイドライン」が官民に関わらず参考になるためその概要を解説する。一方で、電子署名などの電子署名のトラストサービスの使いやすさと低コスト化がデジタル化の拡大に向け課題となると考えられるため、クラウド技術を用いたリモート署名などの対応策を解説した。さらにトラストサービスの利便性向上をめざすため、デジタル・ガバメント閣僚会議」に設置された「マイナンバー制度及び国と地方のデジタル基盤抜本改善ワーキンググループ」及び「データ戦略タスクフォース」からの報告が参考となる。 すなわち、マイナンバーカード証明書を利用し、ベースレジストリと紐づけた属性付きeID(個人用、法人用)のオンライン発行により利用者の利便性が向上すると考えられる。。また、それらオンライン発行されたeIDをリモート署名で利用することにより押印廃止後のトラストサービスの活用と利便性が向上しオンラインによる官民の手続等が拡大すると考えられる。
著者
森山 光一 板倉 景子
出版者
日本セキュリティ・マネジメント学会
雑誌
日本セキュリティ・マネジメント学会誌 (ISSN:13436619)
巻号頁・発行日
vol.37, no.2, pp.27-33, 2023 (Released:2023-12-19)
参考文献数
14

本稿では,FIDO(ファイド)アライアンスがW3C(World Wide Web Consortium)と共に推進するFIDO認証について解説する.近年,フィッシング攻撃などによる不正アクセスへの対策が急がれる中,FIDO認証はその対策の大きな決め手の一つとなる.FIDO認証は,リモートからの悪意者による攻撃を防ぐため,利用者による認証器の所持を基本とし,公開鍵暗号に基づく署名検証を利活用する.利用者にとって使い勝手が良く,フィッシング攻撃への耐性をもつ「シンプルで堅牢な」認証方式である. FIDO認証は,2014年12月に公開されたFIDO 1.0仕様を皮切りに本格的な商用利用が開始され,現在はW3Cが策定するWeb認証(Web Authentication,WebAuthn)の勧告仕様を含めて総称するFIDO2が議論の中心となっている.そして,普及に向けて長い間課題となっていたいわゆるアカウントリカバリーについても一定の方向性が確立し,いま「パスキー」としてさらなる広がりが期待されている.その一方,FIDO認証のために必要な認証資格情報(クレデンシャル)を認証器から取り出すことを認めた結果,新たに取り組むべき課題も認識されつつあり,業界を挙げての取り組みが必要である. FIDOアライアンスは,FIDO2とパスキーに加えて,バイオメトリック部品認定,IoTデバイスと認証にまつわる課題を解決するFDO(FIDO Device Onboard)仕様なども展開し,パスワード課題の解決に向けてさまざまな観点から取り組んでいる.FIDO認証とWeb認証に対しては国内からの貢献も顕著で,引き続くグローバルとしての取り組みで,社会課題の解決に向けてさらに貢献できる.
著者
湯淺 墾道
出版者
日本セキュリティ・マネジメント学会
雑誌
日本セキュリティ・マネジメント学会誌 (ISSN:13436619)
巻号頁・発行日
vol.32, no.3, pp.45-51, 2019-01-25 (Released:2019-03-25)

近年、インターネット上におけるフェイクニュースの流布・拡散が、セキュリティに関する問題の一つと しても取り上げられるようになってきている。フェイクニュースは経済活動や社会生活の基盤である民主主 義自体を脅かすものとなっており、サイバーセキュリティの一問題として捉える見方も現れている。EU は、 2019 年の EU 議会議員選挙を控えて、フェイクニュース対策を行っている。ENISA が虚偽情報流布活動と その対策について技術的要素と人的要素の両面から分析を行い、フェイクニュース流布・拡散の土壌となっ ているプラットフォーム事業者に対しては、2018 年 7 月までに共通の行動規範 (a common Code of Practice) を策定して遵守することを求めた。他方で日本においては、フェイクニュースを法的に規制することはきわめて困難であるとされており、フェイクニュース対策はセキュリティ・マネジメントの概念にも影響を与える可能性がある。
著者
小泉 雄介
出版者
日本セキュリティ・マネジメント学会
雑誌
日本セキュリティ・マネジメント学会誌 (ISSN:13436619)
巻号頁・発行日
vol.34, no.2, pp.3-14, 2020 (Released:2020-12-11)
参考文献数
30

AI社会において尊重すべき「価値」のうち、個人データの利活用が「個人に対して」もたらす価値には「自由」「平等」「安全」「利便」の4つがあるが、AI社会ではこれらの価値の間にトレードオフが発生する場合がある。本稿では国内外で導入が進む顔認識技術をケーススタディとして、「自由」と「安全」、または「自由」と「利便」という価値間で発生するトレードオフについて、これらの間のバランスを取るための方策を検討した。顔特徴データの利用を伴う顔認識システムの用途は、①本人同意に基づく利用、②特定の対象者に対する利用、③不特定の対象者に対する利用(公共空間等での自動顔認識)の3つに分類できる。これらの用途のうち、「自由」とその他の価値(安全や利便)とのトレードオフが顕在化するのは、③の用途である。③に対しては様々な懸念・批判の声が上げられているが、本質的な懸念は「顔画像の取得の容易さ」「個人に対する透明性の欠如」「行動の自由の萎縮効果」の3点である。③の用途において、これら「自由」に関わる懸念に対処しつつ、「安全」や「利便」を追求することは容易ではないが、英国ICOの意見書が1つの指針となる。同意見書では、警察による③の用途が許容されるのは「法執行目的で厳密に必要とされる場合」とし、そのためには自動顔認識の「比例性」と代替手段の有無を検討すべきとする。すなわち、警察による利用については、目的(犯罪捜査など)と手段(自動顔認識)との比例性に基づきケースバイケースで検討するべきであり、万が一導入する場合であっても「厳密に必要とされる」場合、例えばテロ警戒レベル上昇時、大規模イベント開催時など期間と場所とを限定した利用にとどめるべきと言える。このような条件を課すことで、「自由」と「安全」の間のトレードオフ関係に一定のバランスを見出すことが可能となる。民間企業による利用についても同様に考えることができる。
著者
田辺 剛
出版者
日本セキュリティ・マネジメント学会
雑誌
日本セキュリティ・マネジメント学会誌 (ISSN:13436619)
巻号頁・発行日
vol.34, no.1, pp.15-19, 2020 (Released:2020-08-16)
参考文献数
13

第3 次AI ブームが始まって既に10 年近くが経過しており、AI(Artificial Intelligence)は、研究目的だ けでなく現実社会での活用検証やシステム化も多く行われるようになっている。実際に様々な人々がかかわ り検証、利用される中で、AI という技術は、当初抱いていた期待と実現可能な現実に異なる部分があること についても、正しく認識されるようになってきている。2016 年にアメリカ国防高等研究計画局(DARPA) で提唱されたXAI(Explainable AI:説明可能なAI)は、AI 活用のためのキーワードとして、現在、AI を 活用したい人々、作り出したい人々に、非常に注目されているが、その概念とロードマップが、現在のビジ ネスシーンでのAI 活用において注目されている理由、及び、XAI により実現されるであろうAI 活用の在り 方について、日本国内のビジネスシーンを事例として解説する。
著者
濱口 総志
出版者
日本セキュリティ・マネジメント学会
雑誌
日本セキュリティ・マネジメント学会誌 (ISSN:13436619)
巻号頁・発行日
vol.36, no.1, pp.34-40, 2022 (Released:2022-10-20)

電子署名,タイムスタンプ等のトラストサービスは我が国においても既に広く普及しているが,Society 5.0やDFFT の実現にはトラストを確保する枠組みが大きな役割を担うと考えられており,国内での検討が進められている.トラストサービスはサイバー空間上のトランザクションにおける信頼性を高めるサービスであるが,EU では2014 年に施行されたeIDAS 規則によってトラストサービスに関する包括的な枠組みが一早く整備されている上に,その改正案であるeIDAS2.0 では,更なる対象範囲の拡大と枠組みの強化が提案されている.本稿では,我が国におけるトラストに関する枠組みの検討に資することを目的にeIDAS 規則及びその改正案を先行事例として解説する.eIDAS 規則はEU 加盟国内におけるデジタル単一市場戦略の一部としての側面がある一方で,トラストサービスの法的安定性を確保することでデジタル化と新たなイノベーションの促進を主目的としている.eIDAS 規則の特徴としては,包括的制度であること,各トラストサービスの法的効力を法定していること,トラステッドリストによって自動検証が可能なこと,技術革新に備えたレビューサイクルが定められている事,標準化活動の活用等が挙げられる.eIDAS 規則はその効果について一定評価がある一方で,新しい技術やニーズ,完全なデジタル化の実現に向けては枠組みの更なる強化と拡大が必要と判断されており,改正案であるeIDAS2.0 において新たなトラストサービスとして属性証明や電子台帳,リモート署名が提案されている.
著者
事務局
出版者
日本セキュリティ・マネジメント学会
雑誌
日本セキュリティ・マネジメント学会誌 (ISSN:13436619)
巻号頁・発行日
vol.33, no.1, pp.3-11, 2019-05-31 (Released:2019-12-25)

我が国の情報セキュリティの黎明期に,当時としては時代の先をはるかに見越して「セキュリティ・ マネジメント」の重要性を看破し,本学会を構想・設立して初代会長を務められ,その後名誉会長とな られた鵜澤昌和先生が,2019年2月4 日朝安らかにご逝去なされたとの報に接しました. 享年百歳の大往生で,亡くなるまで自宅で車いすの生活ながら元気にされていたとのこと,2 月8 日 に日本キリスト教団鳥居坂教会にてご葬儀,5 月2 日には青山学院大学時代の「鵜澤ゼミ」の卒業生 で構成された「昌友会」主催の「お別れ会」が温かな雰囲気の中で行われたとのことです. 鵜澤先生のこれまでのご活躍に心を馳せ,本学会へのご貢献に感謝を込めて,鵜澤名誉会長の追悼特 集といたします.謹んでご冥福をお祈りいたします. 追悼文の後ろに,本学会設立当時から鵜澤先生が会長を退任された頃までの学会の様子を抜粋して掲 載しております.鵜澤会長の『学会の原点復帰』の提言は,今も新鮮に私共の心に響きます. 本学会のこれまでの歩みを誇りに,さらに発展に努めてまいりたいと思います. 日本セキュリティ・マネジメント学会 会長 大木榮二郎
著者
藤川 真樹
出版者
日本セキュリティ・マネジメント学会
雑誌
日本セキュリティ・マネジメント学会誌 (ISSN:13436619)
巻号頁・発行日
vol.33, no.2, pp.11-18, 2019-09-30 (Released:2020-01-26)
参考文献数
8

人工物メトリクスとは,人工物が持つユニークな特徴情報を用いて真正性(本物であること)を検証するとともに,人工物のクローンを作成することを困難にする技術である.特徴情報は人工物の製造時に自然偶発的に形成されるが,人為的に形成することが困難であるため,真正品を製造する事業者であっても狙った通りの特徴情報をつくることができない.このため,紙幣や有価証券などに用いられている偽造防止技術とは異なり,人工物の製造方法や特徴情報の形成方法を秘匿する必要がない.真正性の検証方法は大別すると2つある.1 つは,人工物中に形成された特徴情報をセンシングデバイスを用いて抽出し,既登録の特徴情報とのマッチングにより真正性を検証する方法である.もう1 つはPUF と呼ばれるもので,人工物に印加した刺激(チャレンジ)に対するレスポンス(特徴情報)を抽出し,既登録の特徴情報とのマッチングにより真正性を検証する方法である.最近では,人工物から抽出できる特徴情報の数を増やす試み(マルチモーダル人工物メトリクス)が行われており,真正性と偽造困難性がより高まるものと期待されている.
著者
長谷川 長一
出版者
日本セキュリティ・マネジメント学会
雑誌
日本セキュリティ・マネジメント学会誌 (ISSN:13436619)
巻号頁・発行日
vol.33, no.1, pp.37-42, 2019-05-31 (Released:2019-12-25)
参考文献数
7

サイバーセキュリティ人材育成は、情報技術の発展等により、その重要性がますます増している。しかし、 サイバーセキュリティ人材といっても、その業務や役割は多種多様である。また、実践的人材を育成するた めには、経験学習や振り返り学習による育成が欠かせない。それらの様々取り組みの実例をもとに、実践的 サイバーセキュリティ人材の育成のありかたや今後の展望について解説していく。
著者
長谷川 久美 中田 亮太郎 瀬戸 洋一
出版者
日本セキュリティ・マネジメント学会
雑誌
日本セキュリティ・マネジメント学会誌 (ISSN:13436619)
巻号頁・発行日
vol.32, no.3, pp.35-43, 2019-01-25 (Released:2019-03-25)
参考文献数
22

現在,多量の個人情報がシステムに収集,処理,保管されている.また,官民問わず,個人情報の利活用が盛んになっている.個人情報を扱うシステムを適正に構築運用するためには,事前のリスクアセスメントとして,プライバシー影響評価(PIA)が有効である. PIA の実施動向として,2017 年 6 月に PIA に関する国際標準規格 ISO/IEC 29134:2017 が発行された.EU では 2018 年 5 月に施行される一般データ保護規則(GDPR)でデータ保護影響評価の実施が規定された.日本では,番号法に基づいて特定個人情報保護評価が義務付けられたが,このような背景から,マイナンバー以外の分野でも PIA 実施の重要性が認識されている. PIA を有効に実施するにはマニュアル(手順書)が必要である.過去に開発した PIA マニュアルは ISO 22307:2008 をベースとしているため,ISO/IEC 29134 適合の PIA 実施マニュアルの改訂が必要となった.PIA 実施マニュアルの開発にあたり,既開発のマニュアルと ISO/IEC 29134 との要求事項の比較を行い,変更点を分析した.比較分析の結果,要求事項には大きな差異は見られなかった.ISO/IEC 29134:2017 では,Due Diligence(デューデリジェンス),ステークホルダーエンゲージメント,リスク対策について明示的に記述された.この分析結果を踏まえ,ISO/IEC 29134 の要求事項を反映した PIA 実施マニュアルを開発した. 本稿では, PIA に関連する各国際規格などの概要と,ISO/IEC 29134 準拠の PIA 実施マニュアル開発にあたり,既開発のマニュアルと ISO/IEC 29134:2017 における要求事項との比較分析結果を中心に述べる.