著者
板倉 征男 松田 治男 鈴子 学
雑誌
研究報告コンピュータセキュリティ(CSEC)
巻号頁・発行日
vol.2010-CSEC-50, no.42, pp.1-6, 2010-06-24

P (プライバシー) マークの審査を通してみた最近の中堅企業の情報セキュリティ・マネジメントや情報漏えい対策の傾向,特に経営者の情報セキュリティに対する考え方の傾向を述べる.不況下で一般に情報セキュリティに対しては従来のようなマンパワーは掛けられないが,ローコストながら全社で取り組んで成果をあげつつある中堅企業も見られ学ぶべき事も多い.
著者
斎藤 文弥 高野 祐輝 宮地 充子
雑誌
研究報告コンピュータセキュリティ(CSEC) (ISSN:21888655)
巻号頁・発行日
vol.2023-CSEC-100, no.60, pp.1-8, 2023-02-27

Trusted Execution Environment (TEE) はファームウェアや OS といった基盤システム内の機微情報を保護することを目的とした隔離環境技術である.先行研究では,TEE アーキテクチャの一つである Arm TrustZone をベースとしてメモリ安全性と効果系という概念を主軸に設計した Baremetalisp TEE,およびその TEE の API 定義用言語である BLisp を構築した.さらに作成した BLisp のコードを Coq にトランスパイルし形式的検証も可能な手法を提案した.TEE は他の隔離環境技術である Trusted Platform Module (TPM) 等とは異なりユーザーが自由にセキュリティ仕様を構築できることが特徴として挙げられるが,Baremetalisp では独自の言語 BLisp を用いているため拡張できる機能に制限が存在していた.そこで本研究では Baremetalisp を構成している Rust から関数を BLisp へ組み込み可能にすることによって,柔軟な機能の拡張性を実現した.組み込み関数にも効果系が適用することができ,メモリ安全性と形式的な正しさを保証しつつ安全な機能アップデートが可能な TEE Shell を実現した.
著者
金岡 晃
雑誌
研究報告コンピュータセキュリティ(CSEC) (ISSN:21888655)
巻号頁・発行日
vol.2019-CSEC-86, no.65, pp.1-6, 2019-07-16

特定の分野や技術要素について研究された論文の多くを調べ,アプローチなどの複数観点から研究開発の現状を整理しその先の研究の展望を考えるようなサーベイ論文は,セキュリティやプライバシーの研究分野においても多い.また近年の難関国際会議では,既存の研究を整理し体系化するような作業を Systematization of Knowledge (SoK) 論文として受け入れることが始まっている.これらの論文は新たにこの分野の研究を始める研究者などを助けるなど意義が深い.本稿では,セキュリティとプライバシーに関するサーベイ論文や SoK 論文を概観することで,どういった整理や体系化が行われているかなどサーベイ論文や SoK 論文をメタな視点で体系化することに挑む.
著者
赤尾 洋平 山内 利宏
雑誌
研究報告コンピュータセキュリティ(CSEC) (ISSN:21888655)
巻号頁・発行日
vol.2015-CSEC-69, no.2, pp.1-8, 2015-05-14

計算機システムへの攻撃の中でも,カーネルルートキットを用いた攻撃の脅威が深刻である.攻撃にカーネルルートキットが用いられると,攻撃の検知が困難になり,対処が遅れ,計算機の被害が拡大する.このような背景から,これまでに様々なカーネルルートキットの検知手法が提案されている.しかし,既存のカーネルルートキット検知手法にはいくつかの問題点がある.本稿では,既存手法の問題点に対処するために,多くのカーネルルートキットが通常とは異なる分岐を発生させることに着目し,分岐トレース支援機能を用いてカーネル内で発生する分岐を監視することでカーネルルートキットを検知する手法を提案する.提案手法を用いることで,既存手法では検知が困難なカーネルルートキットを早期に検知できる.また,提案手法は,カーネルの拡張性を低下させず,異なる OS やバージョンへの移植性が高い.
著者
加藤 尚徳 森田 朗 鈴木 正朝 村上 陽亮 花原 克年
雑誌
研究報告コンピュータセキュリティ(CSEC) (ISSN:21888655)
巻号頁・発行日
vol.2021-CSEC-95, no.24, pp.1-6, 2021-11-01

2021 年 2 月 1 日,欧州委員会は "Assessment of the EU Member States' rules on health data in the light of GDPR" を公開した.これは,GDPR におけるヘルスケアデータについて,加盟各国の国内法の整備をはじめとした影響評価について調査されたものである.EU 加盟国間で起こりうる相違点を調査し,医療,研究,イノベーション,政策決定を目的とした EU における保健データの国境を越えた交換に影響を及ぼす可能性のある要素を特定することを目的としている.本稿では,この影響評価において分類されている 3 つの機能のうち機能 2 について概観する.
著者
大橋 盛徳 藤村 滋 土屋 志高 中平 篤
雑誌
研究報告コンピュータセキュリティ(CSEC) (ISSN:21888655)
巻号頁・発行日
vol.2021-CSEC-94, no.24, pp.1-6, 2021-07-12

個人を当事者とした取引において各個人の志向がその実効性に大きくかかわると考えられることから,個人を当事者としたデータ取引の信頼性を高めるために個々人の特性を考慮し,活用することに着眼した.個人特性を行動ログから推定し,人に合わせた適切な条件設定や提示方法を確立することで,個人を当事者として含むデータ取引の信頼性向上へ繋げられると期待する.今回,個人特性の中でも,取引に不可欠なルール遵守に大きく関係する「一貫性」に着目した.日本語版の一貫性選好尺度を作成し,一貫性の選好度合いとルール遵守に関する態度や日常行動の関係を調査した.Web 質問紙調査の結果,一貫性選好度の弱いユーザは,ルールを行動選択の中心的基準としていると推測される一方で,一貫性選好度の強いユーザは,ルールのほかに,自分の周囲環境への変化の低減も行動判断基準として持つ可能性が得られた.また,一貫性の選好度合いは,商品の購買傾向や日常生活内のルーティンとして表出する可能性が示唆された.
著者
Wataru Ohgai Takao Kondo Korry Luke Satoshi Kai Keisuke Uehara Satoru Tezuka
雑誌
研究報告コンピュータセキュリティ(CSEC) (ISSN:21888655)
巻号頁・発行日
vol.2022-CSEC-96, no.16, pp.1-8, 2022-03-03

The TLS security model enables the identification and secrecy of the host-to-host communication channel on the Web; however, TLS cannot guarantee the relationship between service providers. This paper proposes a lightweight self-managed mutual declaration mechanism, M2DMRT, in which service providers mutually sign their TLS public keys and publish them in DNSSEC-protected DNS zones. With M2DMRT, service providers can mutually declare their relationships with each other, and end users can easily trust the relationships by verifying the signatures. Further, this paper implemented a server-side proof of concept. After evaluating its basic performance and feasibility from an Internet architecture perspective, this paper found this mechanism can realize more trustable Web security architecture by providing a sufficiently performant way to declare and verify relationships between service providers without significantly impacting the current Internet environment.
著者
坂本 知弥 佐々木 良一 甲斐 俊文
雑誌
研究報告コンピュータセキュリティ(CSEC)
巻号頁・発行日
vol.2011-CSEC-52, no.5, pp.1-7, 2011-03-03

近年,インターネットの普及により,IPv4 アドレスの枯渇が懸念されている.その為,IPv6 の導入が進められており,IPv6 が導入された場合,IP アドレス数の大幅な増加だけでなく,様々な利点が期待されている.しかし,その利点を逆手に取った攻撃手法も同時に発見されており,迅速な対応が求められている.そのような攻撃手法の 1 つがアドレス自動割り当て時における,ルータへのなりすましによる不正 RA (Router Advertisement) 攻撃である.既存対策としてはネットワーク機器やルータへの機能実装による対策が提案されているが,実現性や有効性の問題により,現実的ではない.そこで,本研究では実験を通じて不正 RA 攻撃がどの程度容易に実現出来るかを示すとともに,PC 側でフィルタリングを行う簡易で効率的な手法の提案と評価を行う.
著者
垣野内 将貴 面 和成
雑誌
研究報告コンピュータセキュリティ(CSEC) (ISSN:21888655)
巻号頁・発行日
vol.2021-CSEC-95, no.15, pp.1-8, 2021-11-01

ICT 利用者にとって,情報セキュリティ対策は常に考えなければいけない課題で,その対策が面倒であったり,手間がかかったりと,精神的な消耗感(情報セキュリティ疲れ)へとつながることもある.このような情報セキュリティ疲れに陥ることで,情報セキュリティ対策効果が上がらなくなることがすでに明らかにされ,施策が提案されている.しかしながら,視覚障害者には晴眼者の施策では対応できない問題があるにもかかわらず,先行研究では晴眼者のみを対象としており,視覚障害者は対象としていない.さらに,視覚障害者のユーザブルセキュリティの研究でも,認証技術や認証方法に関した研究はされているものの,情報セキュリティ疲れに関する研究はまだまだ少ない.本稿では,視覚障害者の大学生に限定して調査を行い,結果を分析した.その結果,晴眼者のコンディションマトリクス上の分布は6群がほぼ一様であったのに対し,視覚障害者での分布は大きく異なり,セキュリティ対策実施度が高い学生ほどセキュリティ疲労度も高いことがわかった.また,晴眼者に対する既存研究での対策案では補いきれない部分を考慮して,視覚障害者ならではの施策も明らかにした.
著者
市川 智史 佐々木 良一
雑誌
研究報告コンピュータセキュリティ(CSEC)
巻号頁・発行日
vol.2014-CSEC-67, no.1, pp.1-8, 2014-11-28

情報技術がインフラと化している現在,情報セキュリティの教育には多様性や柔軟性が求められている.拡張性と柔軟性が高い e-ラーニング作成システムである ELSEC の開発,適用を行ってきた.ELSEC を利用する学習サイクルでは e-ラーニングを用いたインプット学習だけではなく,実際に e-ラーニングを作成しながら行うアウトプット学習を取り入れることで効果的な学習を目指している.ELSEC システムでの e-ラーニング作成は,ある程度のプログラミング能力があれば容易であるが,プログラミング能力が全くない人でもアウトプット学習を行えるように著者らはプログラムレスでの e-ラーニング作成を支援する PlotM を開発した.PlotM は,GUI 操作のみでの e-ラーニング作成を可能にするほか,フローチャートを用いて全体構造の把握を容易にするなど作成の簡易化に重点を置いている.必要機能等は ELSEC システムの適用から得られた結果を分析し,実装を行った.プログラムコードを意識させない作成方法にくわえて,記述文字数の削減によって従来よりも簡易的に作成でき,作成時間の短縮にも繋がった.本稿では,当システムの開発要件や機能について記述するとともに,教育支援システム群の概要について報告する.
著者
田中 哲士 山田 真徳 菊池 亮
雑誌
研究報告コンピュータセキュリティ(CSEC) (ISSN:21888655)
巻号頁・発行日
vol.2016-CSEC-73, no.21, pp.1-8, 2016-05-19

機械学習が大規模化するにつれて,機械学習のクラウドへの委託が行われるようになってきている.しかしクラウドからデータが漏洩した場合,ユーザのプライバシー情報のみならず,企業の資産とも言える機械学習パラメータも漏洩してしまう危険性がある.本論文ではこの問題を解決するために,ユーザが持つプライバシー情報と企業が持つ機械学習パラメータを秘匿しながら,クラウドに機械学習を委託する方法を提案する.提案方法は秘密分散ベース秘密計算を基に,ニューラルネットワークを用いた学習・予言を可能としている.さらに,提案方式の有効性を測るため,ニューラルネットワークで用いる活性関数としてランプ関数を用いた場合の計算コストを見積り,既存の実装結果と併せることで,機械学習にどの程度の時間がかかるかを推定する.
著者
川村 大河 中林 赳明 長瀬 智行
雑誌
研究報告コンピュータセキュリティ(CSEC)
巻号頁・発行日
vol.2013-CSEC-62, no.46, pp.1-4, 2013-07-11

今日の暗号技術において,乱数生成技術は様々な局面で必要不可欠な技術であり,性能の良い暗号論的乱数生成器は現在でも広く求められている.特に,限りなく真の乱数に近い乱数系列を発生させることのできる物理乱数生成器は,比較的高価である,系列生成に時間がかかる,など様々な制限が存在している.そのため安価に実現できる優れた物理乱数生成器の開発は,セキュリティの向上という面において急務であるといえるだろう.そこで,ほぼ全てのデバイスに標準的に付加されているマイク入力から得られる雑音を利用して乱数生成器を開発することはできないかと考えた.本研究では,マイク入力から得られた雑音データの最下位ビットをとり,Barak, Impagliazzo & Wigderson 抽出器を利用することによって,乱数生成器を設計した.
著者
前田 恭幸 湯淺 墾道
雑誌
研究報告コンピュータセキュリティ(CSEC) (ISSN:21888655)
巻号頁・発行日
vol.2015-CSEC-71, no.12, pp.1-7, 2015-11-27

近年,スマートフォンを始め,パーソナルコンピュータ,タブレット端末,多機能周辺機器などに使用される不揮発性記録媒体のひとつであるフラッシュメモリの普及が急激に広がっている.不揮発性記録媒体のフラッシュメモリを搭載している SSD(Solid State Drive) を調査してみると,SSD 市場の 2017 年までの平均成長率は 39.2%と IT 調査会社 IDC は予測している.SSD には書換え寿命などの対策のため,Spare Capacity 及び Over Provisioned Capacity という予備のデータ保存領域がある.通常の方法ではデータにアクセスすることができないこの領域からデータ復元できたとする報告もある.また,SSD は HDD に比べ,データの記録構造などが異なるためデータの完全復元がしにくいと言われている.デジタル・フォレンジックの観点から,HDD と SSD のデータ復元の違いについて述べる.そして,SSD の Over Provisioned Capacity からの新たなデータ抽出手法を提案する.
著者
米山 裕太 高橋 健太 西垣 正勝
雑誌
研究報告コンピュータセキュリティ(CSEC)
巻号頁・発行日
vol.2013-CSEC-62, no.45, pp.1-6, 2013-07-11

著者らが提案した生体情報を秘密鍵とするディジタル署名 Fuzzy Signature においては,曖昧な生体情報を誤り訂正するために整数格子上の Fuzzy Commitment を用いている.整数格子上の Fuzzy Commitment では,L∞ 空間における整数格子への丸め処理によって誤り訂正を行っている.しかし,顔認証など,特徴量がユークリッド空間上のベクトルとしてコード化される場合には,Fuzzy Commitment への適用が困難であった.本稿では,三角格子の最近傍探索を用いることで,近似的にユークリッド距離に基づく Fuzzy Commitment および Fuzzy Signature を実現する方法を提案する.
著者
山口 央貴 河野 和宏
雑誌
研究報告コンピュータセキュリティ(CSEC) (ISSN:21888655)
巻号頁・発行日
vol.2019-CSEC-86, no.48, pp.1-6, 2019-07-16

インターネット利用者が増加する一方で,権利所有者の許可を得ずに不正にアップロードされた著作物を取りまとめている違法サイト,海賊版サイトの利用が後を絶たない.例えば音楽ファイルの違法ダウンロード,リーチサイトを経由しての海賊版サイト上での漫画の閲覧など,これらすべてが著作権侵害であり違法とされている.しかし,違法ファイルの投稿の取り締まりの対策は後手となっており,サイトブロッキングなどの強硬手段も,現状は実行に移すのが難しい状況にある.そこで本稿では,ユーザ側に焦点を当て,同調志向と規範的情報に着目することで,インターネット利用者に対する違法サイト ・海賊版サイトの効果的な利用抑制が可能かどうか検討した.結果として,規範的情報を与えることで,同調志向の高さに関わらず多少なりとも規範的な意識が働き,違法サイトの利用抑制につながること,同調志向を高さ別にみると,規範的情報が記述的であれば,同調志向の高い人物に対して特に強く規範意識が働き,違法サイトの利用抑制に有効であること,規範的情報が罰則的であれば,同調志向の低い人物に対しては自身の利益とリスクの関係がより明確になり,罰則というリスクを意識させることで利用抑制につながることが分かった.
著者
宮地 隆雄 長谷川 まどか 田中 雄一 加藤 茂夫
雑誌
研究報告コンピュータセキュリティ(CSEC)
巻号頁・発行日
vol.2011, no.31, pp.1-6, 2011-07-05

画像認証方式は,覗き見攻撃に弱い傾向があり,近年,これに対して様々な対策が研究されている.これまで我々は,画像の高周波成分は離れた位置からの認識が困難という性質に着目した重畳画像認証方式を提案し,その有効性を検証してきた.しかし,本方式は重畳する画像によっては,認証に適さない画像となる可能性があった.そこで本稿では,前景および背景画像の構造に着目し,それらの高周波成分に応じて前景画像の補正を行う手法について検討を行ったので報告する.Although graphical passwords are easy to memorize, they are vulnerable against an observation attack. To solve this problem, we propose a graphical password method which is difficult for observers to recognize pass-images. And we have conducted a user study about usability and robustness against shoulder-surfing. This method uses hybrid image, but a hybrid image which is not suitable for authentication may be used in this method. In this paper, we study on improvement of our method by considering image structure.
著者
辻井 重男 山口 浩 只木 孝太郎 五太子 政史 藤田 亮
雑誌
研究報告コンピュータセキュリティ(CSEC)
巻号頁・発行日
vol.2013, no.42, pp.1-8, 2013-07-11

受信暗号文の各部分 (各章) を,受信側組織の代表者・管理者が,総合的・適応的で,非定常的・臨機応変的な判断により,それぞれ適切な担当者達に暗号化状態のまま配信し得るような組織間機密通信方式を提案する.例えば,職員の職務のみでなく,人柄・適性や仕事量,あるいは勤務状況なども勘案して,上司が適任の部下を選ぶ,と言うような状況を想定している.本提案では,階層型組織やフラット型組織などの組織形態に応じて,多変数公開鍵暗号,及び,楕円エルガマル暗号等を活用しつつ,このような組織間機密通信システムを構成する.As to the application of public key cryptosystem to social organizations, Attribute Based Encryption and Functional Encryption are extensively being developed. In such encryption systems, a sending organization has to identify or decide the qualified receiver in the receiving organization by embedding the capacity of decryption of sending information in the encrypted data or the encryption key. As an example, it is easy for broadcast companies to embed the capacity of viewing of charged television. However, it is often difficult for sending organization to decide the qualified receiver. In such cases, secret communication systems proposed in this presentation seems to be crucial. Although there are various types of social organizations, typically they are divided types; one has hierarchical structure and the other has flat structure. In this paper we propose the Multivariate Public Key Cryptosystem (MPKC) for organizations with hierarchical structure and the elliptic curve cryptosystem for organizations with flat structure. As to MPKC, the structure with Perturbed TSK-MPKC and PQ type TSK-MPKC proposed in Third international conference on Symbolic Computation and Cryptography (SCC 2012, in Castro Urdiales, Spain) can be used.
著者
中田 謙二郎 松浦 幹太
雑誌
研究報告コンピュータセキュリティ(CSEC) (ISSN:21888655)
巻号頁・発行日
vol.2015-CSEC-70, no.19, pp.1-8, 2015-06-25

匿名通信システム Tor は送信者と受信者のつながりの匿名性を保証する.しかしながら,その匿名性を破る攻撃も発見されつつあり,中でも指紋攻撃は攻撃に必要な資源が少なく現実的な脅威となりうるものとして注目されている.そこで我々は,指紋攻撃に対する防御の糸口としてウルフウェブサイトを提案する.ここでウルフウェブサイトとは,トラフィック上他のウェブサイトになりすましやすいウェブサイトと定義する.それぞれのトラフィックをウルフウェブサイトに擬態させることで,通信量のオーバーヘッドを最小限に抑えたまま指紋攻撃の攻撃成功率を大きく下げることができると考える.本稿では,本提案に向けた基礎実験について記述する.
著者
今井 正樹 上原 哲太郎 侯 書会 津田 侑 喜多 一
雑誌
研究報告コンピュータセキュリティ(CSEC)
巻号頁・発行日
vol.2011, no.4, pp.1-6, 2011-05-05

情報漏洩対策機能としてユーザを特定可能な ID を電子透かしで文書に埋め込む電子文書管理システムがある.情報漏洩発生時に文書の流出元特定を容易にすることで,情報漏洩を心理的に抑止する.しかし,従来の方式で ID を符号化した場合,異なる ID を持つ文書を比較することにより ID の改竄が可能である.そこで本稿では結託耐性符号で符号化したユーザ ID を文書に埋め込む電子文書管理システムを提案する.文書形式として最も広く利用されている OOXML (Office Open XML) 形式の文書を対象として,相当量の情報が埋め込み可能な電子透かし手法を示し,ユーザ ID の消去を困難にした電子文書管理システムを設計する.There is a document management system witch prevent information leakages by embeding user identification in documents with digital watermark. It prevent users from information leakages by facilitating specification of the leakage source. But A comparation of same documents witch embeded different user IDs is enabled to attackeres to falsify the ID. This paper propose the document management system witch embeding user ID encoreded with anticollusion codes in documents. This system targeted OOXML (Office Open XML) documets because it is the most widely used in the world. This paper introduce the new large capacity watermark available in OOXML, and design the document management system enhaced preventation effect on information leakages.
著者
金子 雄介 長田 繁幸 安土 茂亨 岡田 仁志 山崎 重一郎
雑誌
研究報告コンピュータセキュリティ(CSEC) (ISSN:21888655)
巻号頁・発行日
vol.2018-CSEC-82, no.24, pp.1-6, 2018-07-18

ブロックチェーン技術による分散台帳を利用する仮想通貨は,二重使用を防止するために,すべての取引で入金額の和と出金額の和が一致すること,すなわち,通貨価値の総量保存則が成り立つことを監査している.仮想通貨を金融業務で用いるには,利息による負債額の時間的増加や返済による負債額の減少を表現できる必要があるが,仮想通貨の安全な運用とは両立しない.本稿は,通貨価値の総量保存則を維持しつつ,利息や返済などの処理を合理的に記述する方法を提案する.提案法では,利息を考慮した融資額を意味する正の仮想通貨と,対となる同量の負債額を意味する負の仮想通貨を同時に発行し,これら 2 種類の仮想通貨の発行者のみが正負の仮想通貨を相殺する.