"情報セキュリティ人材育成 公開講座@中央大学" archive
August 31, 2004
『情報セキュリティ人材育成 公開講座』、四日目&五日目。
オーノー。講義を受けてから3日も空いちゃった。こういうのって、その日のうちに書いておかないと、内容を忘れるし感動も薄れちゃって駄目ぽ。
四日目。前日までとうってかわって、この日は技術的な話題が中心。面白かったのは小柳和子氏(情報セキュリティ大学院大学教授)の『セキュアOSの動向』。うにくす系OSのラフでおおざっぱな権限管理の仕組みを改善し、より詳細かつ厳密な権限管理の機構を実装したOSをセキュアOSと総称する。まずセキュアOSの現状を概説し、続いてその実例として、"SE Linux"というセキュアなlinuxの仕組みを具体的に見ていく、という内容。プレゼントしても良くまとまっており、面白かった。
セキュアOSにもいろいろあるが、紹介されたSE Linuxは既存のりなくすへのアドイン的な代物であるらしく、それまで使っていたプログラムをリコンパイルなしで使えるなど、意外と容易に導入できるようだ。また、詳細なアクセス制御のルールを詳細に指定していく必要があり、設定が死ぬほど難しいのだとか。ふうん。勉強になります。
千葉雄司氏(日立製作所システム開発研究所)の『Secure Programming』も良かった。既に知っている内容が中心ではあったが。
この日感じたことだが、公開講座ということもあって、受講者の階層が雑多で統一されておらず、その知識レベルには非常にばらつきが大きい。よって、どうしても基礎的な知識から触れて行かなくてはならず、その分野についてよく知っている受講者だと、物足りなさを感じる部分があるのではないかと思われた。たとえばネットワークセキュリティを扱う講義では、「ポートとは何か」というところから話を始めるわけだ。たった90分の講義で、そこからスタートしていたのでは、どうしても深いところまで行けないということになる。公開講座というスタイルを考えると、まあ、これで良いのだとおもうが。
五日目。暗号や認証の話は頭を使わされるので疲れる。この日おもしろかったのは板倉征男氏(情報セキュリティ大学院大学教授)の『生体認証システムとDNA個人識別の将来性』。バイオメトリック認証はいま盛んに実用化が試みられていて熱い分野である。意外だったのは、指紋にしろ、虹彩にしろ、各種認証手法の識別精度の低さ。たとえば指紋による認証の場合だと、識別制度はたったの1/500,000しかないとのこと。世界におれと指紋の一致するひとが1万人はいるということになるわけで、そんなに低いのかとびっくりした。顔型だとたったの1/1,000。調布市だけでも200人もいることになるぞ。パターンマッチングの不安定性がその原因であるらしい。大変だな。
で、DNA認証である。DNAの場合、最初からデジタルな情報として扱える(AGCTの塩基で構成されてるから)こともあり、他の手法を圧倒する高い識別制度を実現することが可能だ。わーい。しかし、現在の技術では照合に数時間かかり、コストも高く、まだまだ研究段階であるとのこと。また、DNAの利用については倫理的な問題も大きい。こっちも大変だなあ。
……というわけで、以上で公開講座の全日程が終了。最後に、このような優れた講座を受講する機会をくださった中央大学に、改めて感謝を表します。
August 26, 2004
『情報セキュリティ人材育成 公開講座』、三日目。
三日連続で遅刻。いい加減にして欲しい。院生になって以来、きわめて怠惰な生活を送っており、そのせいか、朝7時に起きるのも辛くてたまらないし、一日に5コマの講義を受けるのも難しくなっていてとてもまずい。朝起きれないのは元からだからいいとして、集中力が続かなくなっていて、3コマ目あたりから脳味噌のコンディションが明らかに下がってくるのがちょっとアレだ。この調子だと、社会人になったときが心配。
今日のテーマは電子投票だった。5限すべて電子投票ネタ。本来なら電子投票は、明らかにそこまで重視して扱うネタではなく、これは中央大学がいくつかの企業と組んで電子投票システムを作っていることによるのだと思われる。
ぼくは今まで「電子投票」に対しては漠然としたイメージしかなく、それは「自宅にいながらにして、自分のPCを使ってインターネット経由で投票ができて、楽ちんでhappy」というようなものだった……のだが、実際には、たしかにそういった光景がある種の理想としてあることは確かであるが、そう簡単にはいかないようだ。ぼく自身よく理解していないのだが、なんでも、立会人なるものの役割を電子投票のシステムに組み入れることが困難であるという。NECソフトの某とかいうひとが話していたことだが、氏は「現実的には、投票所を無くすことはできません」と言っていた。自宅で投票ってのは、(少なくとも短期的には)実現し得ない絵空事っぽい。残念だ。
アメリカでは、先の大統領選(ゴアとブッシュが僅差で競って、さんざん揉めたあの選挙)の反省から、電子投票システムの導入が積極的に進められている。投票・集計のプロセスを電子化することによって、無効票を減らし、集計を速く確実なものにしようとしている。電子投票の導入のために割かれた国家予算の累計は、4,000億円にも達しているのだとか。それに引っ張られるかたちで、すでに推進されていた『e-Japan計画』の影響もあって、日本でも電子投票に注目が集まっている、という流れらしい。
研究室に戻ってから、Googleで関連する情報を検索していると、PC Viewにおもしろい記事を見つけた。興味のあるひとは参照してみてください。
電子投票――今後の展望と現状の課題
http://www.pc-view.net/Solution/031218/
『情報セキュリティ人材育成 公開講座』、二日目。
昨日に続いて二日連続で遅刻。うっかり二度寝してしまった。アホか。1限の堀部政男氏の『個人情報保護法』をまるごと聞き逃す。
2限以降であるが、今日の話題が法律、監査、経営といった関心の薄いところに置かれていることもあって、寝不足と相まっていまいち頭に入ってこない。前の方の席に座っており、眠ってしまっては講師に失礼に当たると一所懸命寝ないように頑張っていたのだが、それでも数回軽く寝ちゃったような気がする。ごめんなさい。
帰りに水道橋駅で不細工な顔をした集団が「プロ野球1リーグ制反対」の署名を集めていた。暇な奴らだ。
August 25, 2004
『情報セキュリティ人材育成 公開講座』、初日。 (2/2)
3限 『情報セキュリティ法制の体系』 林紘一郎氏(情報セキュリティ大学院大学副学長)
林氏はとても上手いプレゼンをする人。情報セキュリティに絡む法律について、知識のない受講者でもついていけるように解説された。
物流を「アナログ流通」と「デジタル流通」の2つに分けよう。昔はアナログ流通しかなかった。近年になって、それまでとはかなり異なった流通の形態、デジタル流通が登場し、短期間で急速に発達した。では、デジタル流通はそれまでのアナログ流通とは何が違うのか。
・時間と空間の制約がない。地球の裏側にでも、たったの一瞬でデータは伝送される。
・劣化することがない。
・現物(リアル・ワールドに存在する物質)との結びつきがない。
現在の法制はアナログ流通しかなかった時代に作られたものがほとんどであり、新しく出てきたデジタル流通に対応しきれない。たとえば次のような例が挙げられる。
・民法85条 本法において物とは有体物をいう
→情報は有体物ではない
・刑法36章 窃盗および強盗の罪
→情報の窃盗は罪にならない
・刑法117条
わいせつな文書、図画、その他の物を……
→情報は当てはまらない
ヤフーBBの顧客情報流出の一件があった。あの事件では結局犯人は逮捕されたが、それは顧客情報を盗んだことではなく、その後の恐喝を名目に逮捕したのである。情報の窃盗は罪にならない(問えない)。
では知的財産はどうか。知的財産には、publicにされることによってrefineされるという性質がある。知的財産を広く公にすることによって、さまざまなフィードバックが得られ、それによってさらにその知的財産が洗練されて優れたものになっていく、ということである。この性質ゆえ、知的財産はpublicにされることが望ましい。しかし、知的財産の所有者にとっては、知的財産の公開が自身の不利益に繋がるというケースが多い。そういうわけで、知的財産については保護してやりましょう、ということになった。よって著作権その他ができた。
知的財産に絡む大きな問題として、著作権の有効期限に関する議論がある。欧米には、今、著作権を長期化しようという流れがある。実際、アメリカでは、著作権の有効期限が、「死後50年」から「死後70年」へと変更された。
著作権におけるLaffer曲線というのがある(下図参照)。
もし著作権の有効期限をゼロとすると、著作者が著作から利益を得ることができなくなる。すると著作をしようとする人が著しく減少し、またプロの表現者が居なくなり、よって文化が衰退する。これは宜しくない。翻って、著作権の有効期限を無限にしたとすると、今度は何かを表現しようとするたびに、それこそヘロドトスやアリストテレスの時代にまで遡ってチェックが必要になり、ほとんど何も表現できなくなってしまう。よって文化が衰退する。やっぱり宜しくない。よって、中庸が望ましい。上の曲線の、一番凸になったポイントがもっとも望ましいわけなんだけど、じゃあ中庸ってどこなんだろーね。
ところで情報セキュリティへの対策として、次の3つがある。
・技術的対策
・管理的対策
・法規制と倫理
この3つを上手く組み合わせていかないとだめ。
4限 『情報セキュリティ技術の体系』 森井克昌(徳島大学教授)
森井氏は徳島大学の教授。この講義のためにわざわざ四国からいらっしゃったらしい。お疲れ様です。
まずは認証について。認証とは何か。おおむね次の2つのいずれかであると言ってよいだろう。
・自分しか知らない情報を示す
・自分にしかできないことを示す
で、個人認証にもっともよく使われるのは言うまでもなくパスワードなんだけど、コレにはいろいろと問題がある。
パスワードをcrackするツールはいろいろある。もっとも有名なのは"JohntheRipper"ってやつ。これは辞書を使ったcrackをするツールで、小文字オンリーなパスワードなら、だいたいのものは1時間くらいでcrackできてしまう。また、DESをcrackするツールには"DES cracker"というのがある。56bitのDESなら、ごく普通のスペックのPCを使って、2日くらいで解けてしまう。
ランダムに生成された、意味のある単語を使っていない文字列だと、人間が覚えられるのはせいぜい8文字。で、たったこれだけの長さでは、パスワードの生存期間は数日にしかならない。ここで生存期間というのは、そのパスワードがsecureであることをおおむね保証できる期間のこと。
また、現実には、辞書攻撃ですぐcrackされてしまうような駄目なパスワードを使うやつだっているし、付箋に書いてその辺に貼り付けておくようなアホなことをしちゃうやつもいる。こういうのもパスワードのまずいところだ。
じゃあどうしよう?
第一にバイオメトリックス。人間の身体から得られる何らかの情報を認証に使用する。次のようなものがある。
・指紋
・声紋
・眼紋
・静脈のパターン
・顔
・サインの筆跡
・DNA
これらはいま盛んに研究されているし、システムとして実用化されたものもある。ただ、やはり問題はある。まず、認識率の問題。たとえ99%の認識率が得られたとしても、100回に1回は失敗するわけで、使途によって、それが許容されないことはとても多い。また、たとえば指紋だと、無指紋症というのがある。そういう人を切り捨てることになってしまう。外傷によって指紋を取れなくなることだってあるだろう。
もっとも完璧なのはDNAを使った認証だ。なぜなら、DNAはそれ自体がデジタルなパターンになっている。それ以外のものを使うと、アナログなものをデジタルなデータに写像する処理が必要になり、この部分が非常に難しいわけだが、DNAならばその問題がなくなる。これは大きい。また、DNAは個人間での衝突がほぼないことが保証されている。これも認証には有利。
他にはワンタイムパスワードというのがある。たった一回だけ使用されるパスワードを毎回作成する。CHAP(Challenge Handshake Authentication Protocol)や、NTT Docomoの開発したFirstPassなどがある。
次にコンピュータウイルスについて話す。ここ数年のウイルスの傾向として、それ自体でSMTPの機能を持っている(メールを送信できる)ことと、Windowsの脆弱性を使っているということがある。自分などウイルスメールを一日に100通は受け取っている。また、感染したPCにバックドアを仕掛けるものが増えている。
ウイルスを検出してくれるソフトが多数あるが、これらはどのような技術でウイルスを検出しているのか。もっとも多く使われているのはパターンマッチングの手法。これまでに発見されたウイルスのデータベースを持っておき、それとのマッチングでウイルスを検出する。これは既知のウイルスに対しては高い効果があるが、未知のウイルスに対しては弱い。他には、ウイルスに特徴的なコードのパターンを発見するダイナミック・ヒューリスティックという手法や、不正なプロセスを監視・検出する手法がある。
ところでここ最近、管理者のレベルはかなり低下している。これはインターネットの普及によるところが大きく、新規にインターネット環境を導入した企業で、ちょっとパソコンに詳しい程度の社員が管理者に任命されるというようなケースが多い。これから、こういった管理者たちが如何にしてしっかりとしたセキュリティ管理をできるかということが重要になる。
そこで求められるのが脆弱性検査ツールだ。既存のものとしては、SATAN, ISS, Nessusなどがあるが、これらは使う側に高い技術水準を要求し、専門的な知識のないユーザでは使いこなせない。一般のユーザでも使いこなせ、かつ性能の高い脆弱性検査ツールが必要で、これは自分の研究室でも研究のテーマとしている。
5限 『国内外の情報セキュリティ人材育成動向』 内田勝也氏(情報セキュリティ大学院大学助教授)
海外での情報セキュリティ教育の現状や、中央大学&情報セキュリティ大学院大学の取り組みについて説明された。この人もとってもプレゼンが上手かった。語り口に熱があって引き込まれるのだ。
あまり興味のある内容でないので、やや聞き流していたのだが、海外には優れたカリキュラムを持つ大学があるということと、中央大学が先進的な取り組みをしているということはよく分かった。
ところで、この公開講座はタダで受講できるわけだが、これには文部科学省から「税金を使ってるんだから、タダで提供するように」とのお達しがあったそうで、中央大学としては受講料を徴収したかったとのこと。まあ、さもありなんかな、という感じ。タダにするとぼくみたいなモチベーションの低い受講者が紛れ込むので、ある程度(学生にも負担できるくらい)の受講料を設定した方がむしろ良いのではないかと考える。
……というわけで、初日が終了。
正直この講座にはあまり期待していなかったのだが、予想外の充実した内容で、プレゼンも各先生とも良く練られていて、とても面白かった。明日以降のカリキュラムが楽しみだ。
『情報セキュリティ人材育成 公開講座』、初日。 (1/2)
初日から遅刻。京王線は困ったことに朝のラッシュの時間帯には痛烈にスジが寝て、調布から新宿まで30分は掛かるようになってしまうんだった。完璧に忘れてた。結局20分くらい遅れて中央大学水道橋キャンパスに到着、受付で名前を告げて資料を頂戴する。名簿に所属まで書いてあったのでさっと目を通すと、企業と大学の割合は7:3くらい。企業は日立、NECといった国内ベンダが主で、本体から子会社まで幅広い。セキュリティ企業としてはセコムの名前があった。大学はやはり中央大が圧倒的に多く、他に都内の大学の名前がちらほら。
会場はごくごくフツーの講義室。キャパシティは100名あるなし。パイプ椅子を通路際の空いたスペースにぎゅうぎゅうに並べてあり、こんなことするくらいならもっと大きな箱を用意できなかったのかと思う。電通大にだってもうちょっとマシな箱があるぞ、これなら。受講者は130人で、欠席者が居るので実際の出席者数は100人強というところ。年齢層は20代から50代までおおむね均等に分布しており、少し意外だった。もっと全体的に若いと予想していた。男女比は9:1。お約束。
1限 『開会挨拶&基調講演』 土井範久氏(中央大学教授)
情報セキュリティの政治層の話題をあれこれ。前半を聞き逃したことと、あまり興味のない話題であることから、内容は割愛。
2限 『情報セキュリティ総合科学へのパラダイム』 辻井重男氏(情報セキュリティ大学院大学学長)
公開講義のガイダンス的な内容が中心で、個々の講義の内容と講師について説明した。内容としては、わざわざ流れを負って紹介するようなものではない。よって、辻井氏の話の中で、印象に残った言葉を挙げる。
「セキュリティとは情報理論だけを指す言葉ではない。法律や社会制度までを含めた、サイエンス&ソサエティの枠組みで捉えるべき学問分野であり、幅広い分野の成果の統合が必要である。我々は、情報セキュリティという、社会のための学問体系を作りたいと考えている。そして、それを日本国民全体の共有財産としてゆきたい」
「(電子投票の話題に触れて)電子投票には技術的な問題も数多くあるが、もしそれがすべて解決されて素晴らしい投票の方式が出来たとしても、じゃあさっそくそれを使いましょう、とはならない。電子投票によって投票が在宅で簡単にできるようになると、あまり政治に積極的でない無党派層の投票率が上がる。すると今の情勢なら民主党が有利になり、与党が不利になると考えられる。よって、電子投票の採用が採決されることは容易ではないと考えられる。おそらくこの部分がもっとも高いハードルになるだろう」
「すぐに『完璧な暗号なんて存在しない』とか『どんな暗号もいずれは解かれる』などと言う人がいる。しかし、これはあまり的確な指摘とは言い難い。ある使われ方の中で完全であるということが大事」
また、セキュリティ大学院大学であるが、今年は30名程度の学生を取ったとのこと。文系・理系の比率はだいたい半々で、ほとんどは社会人だそうだ。研究者養成というよりも、実務家の育成に焦点を絞ったカリキュラムで、全体的に実践的な科目が多く、修論の提出は必須ではない。来年以降は50名程度の学生を入れたい、博士後期課程を設置したい、とも言っておられた。
昼食は中央大の学食でいただいた。唐揚げカレー、330yen也。まあまあのクオリティ。この値段で、キャベツの千切りとみそ汁が付いてくるのが素晴らしい。ついでに生協を覗いた。なにか中央大ゆかりの品をゲットしていこうと思い、適当に店内を物色し、ネームと校章の入ったレポート用紙を買った。ついでに今月号のCマガジンも。
長くなってきたのでエントリを分ける。
August 24, 2004
『情報セキュリティ人材育成 公開講座@中央大学』へ逝ってきます
今日から5日間、中央大学に通い詰めになります。みっちりと情報セキュリティについて教えてもらってきます。
どうしてこれだけの講座を部外者に無料で提供できるんでしょうか。採算なんて度外視でやってますよね明らかに。COEが取れた嬉しさの発露なんでしょうか。何にせよ、中央大学に感謝。
情報セキュリティ人材育成 公開講座
http://www.u-chuo.jp/ol0408.html
RSS Feed