３限　『情報セキュリティ法制の体系』　林紘一郎氏（情報セキュリティ大学院大学副学長）

林氏はとても上手いプレゼンをする人。情報セキュリティに絡む法律について、知識のない受講者でもついていけるように解説された。

物流を「アナログ流通」と「デジタル流通」の２つに分けよう。昔はアナログ流通しかなかった。近年になって、それまでとはかなり異なった流通の形態、デジタル流通が登場し、短期間で急速に発達した。では、デジタル流通はそれまでのアナログ流通とは何が違うのか。

　・時間と空間の制約がない。地球の裏側にでも、たったの一瞬でデータは伝送される。
　・劣化することがない。
　・現物（リアル・ワールドに存在する物質）との結びつきがない。

現在の法制はアナログ流通しかなかった時代に作られたものがほとんどであり、新しく出てきたデジタル流通に対応しきれない。たとえば次のような例が挙げられる。

・民法85条　本法において物とは有体物をいう
　→情報は有体物ではない
・刑法36章　窃盗および強盗の罪
　→情報の窃盗は罪にならない
・刑法117条
　わいせつな文書、図画、その他の物を……
　→情報は当てはまらない

ヤフーBBの顧客情報流出の一件があった。あの事件では結局犯人は逮捕されたが、それは顧客情報を盗んだことではなく、その後の恐喝を名目に逮捕したのである。情報の窃盗は罪にならない（問えない）。

では知的財産はどうか。知的財産には、publicにされることによってrefineされるという性質がある。知的財産を広く公にすることによって、さまざまなフィードバックが得られ、それによってさらにその知的財産が洗練されて優れたものになっていく、ということである。この性質ゆえ、知的財産はpublicにされることが望ましい。しかし、知的財産の所有者にとっては、知的財産の公開が自身の不利益に繋がるというケースが多い。そういうわけで、知的財産については保護してやりましょう、ということになった。よって著作権その他ができた。

知的財産に絡む大きな問題として、著作権の有効期限に関する議論がある。欧米には、今、著作権を長期化しようという流れがある。実際、アメリカでは、著作権の有効期限が、「死後５０年」から「死後７０年」へと変更された。

著作権におけるLaffer曲線というのがある（下図参照）。

もし著作権の有効期限をゼロとすると、著作者が著作から利益を得ることができなくなる。すると著作をしようとする人が著しく減少し、またプロの表現者が居なくなり、よって文化が衰退する。これは宜しくない。翻って、著作権の有効期限を無限にしたとすると、今度は何かを表現しようとするたびに、それこそヘロドトスやアリストテレスの時代にまで遡ってチェックが必要になり、ほとんど何も表現できなくなってしまう。よって文化が衰退する。やっぱり宜しくない。よって、中庸が望ましい。上の曲線の、一番凸になったポイントがもっとも望ましいわけなんだけど、じゃあ中庸ってどこなんだろーね。

ところで情報セキュリティへの対策として、次の３つがある。

　・技術的対策
　・管理的対策
　・法規制と倫理

この３つを上手く組み合わせていかないとだめ。

４限　『情報セキュリティ技術の体系』　森井克昌（徳島大学教授）

森井氏は徳島大学の教授。この講義のためにわざわざ四国からいらっしゃったらしい。お疲れ様です。

まずは認証について。認証とは何か。おおむね次の２つのいずれかであると言ってよいだろう。

　・自分しか知らない情報を示す
　・自分にしかできないことを示す

で、個人認証にもっともよく使われるのは言うまでもなくパスワードなんだけど、コレにはいろいろと問題がある。

パスワードをcrackするツールはいろいろある。もっとも有名なのは"JohntheRipper"ってやつ。これは辞書を使ったcrackをするツールで、小文字オンリーなパスワードなら、だいたいのものは１時間くらいでcrackできてしまう。また、DESをcrackするツールには"DES cracker"というのがある。56bitのDESなら、ごく普通のスペックのPCを使って、２日くらいで解けてしまう。

ランダムに生成された、意味のある単語を使っていない文字列だと、人間が覚えられるのはせいぜい８文字。で、たったこれだけの長さでは、パスワードの生存期間は数日にしかならない。ここで生存期間というのは、そのパスワードがsecureであることをおおむね保証できる期間のこと。

また、現実には、辞書攻撃ですぐcrackされてしまうような駄目なパスワードを使うやつだっているし、付箋に書いてその辺に貼り付けておくようなアホなことをしちゃうやつもいる。こういうのもパスワードのまずいところだ。

じゃあどうしよう？

第一にバイオメトリックス。人間の身体から得られる何らかの情報を認証に使用する。次のようなものがある。

　・指紋
　・声紋
　・眼紋
　・静脈のパターン
　・顔
　・サインの筆跡
　・DNA

これらはいま盛んに研究されているし、システムとして実用化されたものもある。ただ、やはり問題はある。まず、認識率の問題。たとえ99%の認識率が得られたとしても、100回に1回は失敗するわけで、使途によって、それが許容されないことはとても多い。また、たとえば指紋だと、無指紋症というのがある。そういう人を切り捨てることになってしまう。外傷によって指紋を取れなくなることだってあるだろう。

もっとも完璧なのはDNAを使った認証だ。なぜなら、DNAはそれ自体がデジタルなパターンになっている。それ以外のものを使うと、アナログなものをデジタルなデータに写像する処理が必要になり、この部分が非常に難しいわけだが、DNAならばその問題がなくなる。これは大きい。また、DNAは個人間での衝突がほぼないことが保証されている。これも認証には有利。

他にはワンタイムパスワードというのがある。たった一回だけ使用されるパスワードを毎回作成する。CHAP(Challenge Handshake Authentication Protocol)や、NTT Docomoの開発したFirstPassなどがある。

次にコンピュータウイルスについて話す。ここ数年のウイルスの傾向として、それ自体でSMTPの機能を持っている（メールを送信できる）ことと、Windowsの脆弱性を使っているということがある。自分などウイルスメールを一日に100通は受け取っている。また、感染したPCにバックドアを仕掛けるものが増えている。

ウイルスを検出してくれるソフトが多数あるが、これらはどのような技術でウイルスを検出しているのか。もっとも多く使われているのはパターンマッチングの手法。これまでに発見されたウイルスのデータベースを持っておき、それとのマッチングでウイルスを検出する。これは既知のウイルスに対しては高い効果があるが、未知のウイルスに対しては弱い。他には、ウイルスに特徴的なコードのパターンを発見するダイナミック・ヒューリスティックという手法や、不正なプロセスを監視・検出する手法がある。

ところでここ最近、管理者のレベルはかなり低下している。これはインターネットの普及によるところが大きく、新規にインターネット環境を導入した企業で、ちょっとパソコンに詳しい程度の社員が管理者に任命されるというようなケースが多い。これから、こういった管理者たちが如何にしてしっかりとしたセキュリティ管理をできるかということが重要になる。

そこで求められるのが脆弱性検査ツールだ。既存のものとしては、SATAN, ISS, Nessusなどがあるが、これらは使う側に高い技術水準を要求し、専門的な知識のないユーザでは使いこなせない。一般のユーザでも使いこなせ、かつ性能の高い脆弱性検査ツールが必要で、これは自分の研究室でも研究のテーマとしている。

５限　『国内外の情報セキュリティ人材育成動向』　内田勝也氏（情報セキュリティ大学院大学助教授）

海外での情報セキュリティ教育の現状や、中央大学＆情報セキュリティ大学院大学の取り組みについて説明された。この人もとってもプレゼンが上手かった。語り口に熱があって引き込まれるのだ。

あまり興味のある内容でないので、やや聞き流していたのだが、海外には優れたカリキュラムを持つ大学があるということと、中央大学が先進的な取り組みをしているということはよく分かった。

ところで、この公開講座はタダで受講できるわけだが、これには文部科学省から「税金を使ってるんだから、タダで提供するように」とのお達しがあったそうで、中央大学としては受講料を徴収したかったとのこと。まあ、さもありなんかな、という感じ。タダにするとぼくみたいなモチベーションの低い受講者が紛れ込むので、ある程度（学生にも負担できるくらい）の受講料を設定した方がむしろ良いのではないかと考える。

……というわけで、初日が終了。

正直この講座にはあまり期待していなかったのだが、予想外の充実した内容で、プレゼンも各先生とも良く練られていて、とても面白かった。明日以降のカリキュラムが楽しみだ。