情報セキュリティの動向 2008年7月18日 中央大学理工学部 産業技術総合研究所情報セキュリティ研究センター 今井秀樹 1 IT社会への脅威の動向 • • • • • • • • • 愉快犯から経済事犯へ(ビジネスモデルの成立) 攻撃の組織化・高度化 攻撃手法の大衆化 攻撃手法の多様化(標的型攻撃など) 脅威の潜在化(マルウェアなど) ブロードバンドの普及 システムのブラックボックス化 情報共有の進展 セキュリティ対策・セキュリティ意識の甘さ 2 IPA:2007年の10大脅威 第1位 高まる「誘導型」攻撃の脅威 第2位 ウェブサイトを狙った攻撃の広まり 第3位 恒常化する情報漏えい 第4位 巧妙化する標的型攻撃 第5位 信用できなくなった正規サイト 第6位 検知されにくいボット,潜在化するコンピュータウィルス 第7位 検索エンジンからマルウェア配信サイトに誘導 第8位 国内製品の脆弱性が頻発 第9位 減らないスパムメール 第10位 組み込み製品の脆弱性の増加 http://www.ipa.go.jp/security/vuln/20080527_10threats.html 3 情報セキュリティとは • 情報セキュリティとは,正当な権利を持つ個人や 組織が,情報システムを意図通りに制御できる 性質. • 情報セキュリティとは,意図的・組織的な犯罪行 為・不正行為,大規模災害等によって生じるリス クを最小化すること. • 守秘性(confidentiality) ,完全性(integrity),可 用性(availability) の統合概念 4 情報セキュリティの要件 • 守秘性: 情報に対するアクセスが規定通りに行 われ,それ以外はアクセスできないという状態を 維持すること.機密性,秘匿性ともいう. • 完全性:情報とそれを格納する情報システムが 正確で完全であり,偽造や改ざんされていない 状態を維持すること.一貫性とも呼ぶ. • 可用性:システムを必要とする場合に適時に所 定の方法で利用可能である状態を維持すること. • 真正性(authenticity: 責任の所在が明確である こと),責任追跡性(accountability),否認不可性 (non-repudiation)などを含めることもある. 5 ディペンダビリティ • 適切な信頼性をもつサービスを提供できるこ と • サービスが良質で信頼でき,人間と社会が 安心してそれに依存することができるという 情報システムの属性 – 可用性,完全性,信頼性(reliability: 正常なサー ビスが継続すること),安全性(safety: ユーザや 環境に破局的事態を起こさないこと),保全性 (maintainability: システムを容易に修復・改良で きること)が重要な要件 6 情報セキュリティとディペンダビリティ • 情報セキュリティとディペンダビリティはともに情報 および情報システムの安全・安心の実現が目的. • 情報セキュリティは意図的な犯罪行為・不正行為を 主たる対象としてきたが,ディペンダビリティは意図 的ではない過誤や偶発的な故障などを主な対象と してきた.すなわち,情報セキュリティは非確率的, ディペンダビリティは確率的な事象をそれぞれ主な 対象としてきた. • しかし,情報セキュリティにおいても,人の過誤や偶 発的な故障を利用した攻撃に対処せざるを得ず, ディペンダビリティにおいても,意図的な攻撃を考 慮しなければ,可用性・信頼性の実現が困難となり, 両者の統合が必須と考えられるようになってきた. 7 情報セキュリティの拡がり プライバシ保護 機密性 完全性 可用性 真正性 否認不可性 IT保証(Assurance) 効率性 保全性 有効性 安全性 責任追跡性 情報セキュリティ 信頼性 遵守性 ディペンダビリティ さらに法学,経済学,社会学,心理学などの人文科学とも 深い関わりをもつ 8 情報セキュリティ対策の現状と課題 • 2000年頃から情報セキュリティ対策は急速に進展 してきた.しかし,未だ課題は多い. – – – – – – – – – 日本政府の情報セキュリティ対策 法令の整備および法令遵守 評価認証制度 情報共有・分析のための機関 企業における対策 情報セキュリティ関連学会等 情報セキュリティ研究機関 情報セキュリティに関する教育・啓発 情報セキュリティ技術 9 情報セキュリティ対策の構造 社会 情報セキュリティマネジメント セキュアシステム構築 認証基盤構築 セキュリティ評価 マルウェア解析 VPN シンクライアント コンテンツフィルタリング セキュリティ担当 組織・ 責任体制 セキュリティポリ シー・ 基準・ 手順 リスク評価 周知・トレーニング プログラム 監視・ 監査・ 調査 情報セキュリティ技術 法・制度 保険 情報セキュ リティ文化 倫理 教育・啓発 広報 ヒューマンクリプト 実装 ICカード 物理セキュリティ Trusted Computing 入退室管理 Webセキュリティ フォレンジック 物品管理 アクセス制御 侵入検知 ファイアウォールセキュアソフトウェア 媒体管理 廃棄処理 暗号プロトコル 電磁漏洩対策 個人認証 盗聴・侵入対策 監視カメラ10 バイオメトリクス 情報ハイディング 暗号 日本政府の情報セキュリティ対策 • 2000年:IT戦略本部情報セキュリティ部会創設など – 2000年7月:情報セキュリティポリシーガイドライン – 2000年12月:重要インフラサイバーテロ対策行動計画 • 2001年:IT戦略本部e-Japan 重点計画 – 重点政策5分野の一つとして「高度情報通信ネットワークの安全性 及び信頼性の確保」を挙げる • 2003年:CRYPTRECリスト(電子政府推奨暗号リスト)公表 • 2003年: IT戦略本部e-Japan戦略II – IT社会基盤整備の5項目の一つとして「安全・安心な利用環境の整 備」を挙げる • 2005年:内閣官房国家情報セキュリティセンター(NISC)設置 • 2005年:IT戦略本部情報セキュリティ政策会議創設 – 「第一次情報セキュリティ基本計画」策定 • 政府機関情報セキュリティ統一基準 • 2006年:「セキュアジャパン2006」策定 • 2007年:「セキュアジャパン2007」策定 11 企業 教育機関 学協会 地方自治体等 省庁 結果報告 問題 報告 問題報告 調査 依頼 情報社会基盤政策機 関 情報セキュリティ政策会議 結果 報告 内閣官房情報セキュリティ センター 結果 報告 調 査 公的研究機関 産業技術総合研究所 等 情報通信研究機構 行政・標準化機関 IPA JST 事故調査 委員会 CRYPTREC 情報提供 JPCERT/CC ISO / IEC JTC1 / SC27 等 問題 提起 部会1 協力 部会2 重要案件 • • • 情報社会基盤に関する法制度及び資格認定制度の整備 安全で安心な情報社会基盤の管理・運用体制の整備 情報学に関する教育制度の構築 2008年6月 日本学術会議情報学委員会セキュリティ・ディペンダビリティ分科会提言 12 法令の整備および法令遵守 • IT関連の法令は整備されつつある. • しかし,未だサイバー犯罪による被害者を法 的に保護し,加害者を適切に罰することので きる法律が十分に整備されているとは言え ない. • 従来法(例えば著作権法)との整合性の点 で法律の整備が難しい点もあり,より広い範 囲で見なおす必要がある. • プライバシー権のようにその定義について 社会的合意がなされていないものもある. (国際化的な調整も課題.) 13 日本のIT関連の法律 • • • • • 不正アクセス禁止法:2000年2月施行 通信傍受法:2000年8月施行,2002年6月初適用 IT書面一括法:2000年11月公布 IT基本法:2001年1月施行 電子署名及び認証業務に関する法律:2001年3月 施行-物理的捺印・署名とほぼ同様な法制度 • プロバイダ責任法:2001年11月施行 − 特定電気通信役務提供者の損害賠償責任の制限及び 発信者情報の開示に関する法律 • 電子契約法:2001年12月施行 – 消費者の操作ミス救済,契約成立時期に関し到達主義 • 電子投票法:2002年2月施行:地方選挙 14 • 不正競争防止法1994年5月施行 – 2003年の改訂で不正アクセスによる営業秘密の不正 取得,不正使用等は処罰の対象となった. • 個人情報保護法:2005年4月施行 – 個人情報を取り扱う事業者の遵守すべき義務(安全管 理措置や従業員と委託先の監督義務など)を規定 – 本人の了解無しに個人情報を流用,売買,譲渡を規制 – 個人情報保護の基本原則が規定(適正な取得,利用は 目的の範囲内,セキュリティ対策) • e-文書法(電子文書法)2005年4月施行 • 日本版サーベインズ・オクスリー法(JSOX法)(金 融商品取引法/証券取引法の一部を改正する法 律等)2006年6月成立,段階的に施行 15 法令遵守(コンプライアンス) • 企業における不祥事が多発している. • 企業のCSR(Corporate Social Responsibility)を求める圧 力は強くなりつつある. • 法令遵守を確実にすることは,CSRの基礎. – 法令違反をすれば 顧客や株主,取引先等の利害関係者から信頼 を失うだけでなく,取引停止や顧客離れ,損害賠償など経営問題に 発展しかねない. – 法令遵守を組織のマネジメントに組み込むことが必要. • 企業の経営理念として法律適合性を定め,それに従った行 動をするという「企業風土」を確立させる必要. • 他方,コンプライアンス不況などということばも囁かれてい る.コンプライアンスと情報セキュリティを共に企業価値向 上に結び付ける技術面・管理面からの一層の努力が必要. 16 評価認証制度 • CC(ISO/IEC15408) – IT関連製品のセキュリティ 機能・品質をチェックする「ITセキュリ ティ評価及び認証制度」 – わが国ではIPAが認証(欧米諸国と相互認証) • ISMS(ISO/IEC17799,27001) – 情報セキュリティマネジメントシステム適合性評価制度 – JIPDEC(日本情報処理開発協会)が認定機関 • CRYPTREC • JCMVP(FIPS140-2,ISO/IEC19790) • その他 – 自己評価(情報セキュリティ対策ベンチマーク) – プライバシーマークなど 17 情報セキュリティ評価認証制度 電子政府システム等 セキュリティ・マネジメント ISO/IEC27001等 2003年度からの CRYPTRECの活動 2002年度までの CRYPTRECの活動 ISO/IEC18033 などに反映 ICカード,ファイアウォール等 セキュリティ製品・システム ISO/IEC15408 暗号ライブラリー,ICチップ等 暗号モジュール ISO/IEC19790等 鍵交換などの応用技術 暗号プロトコル 暗号プロトコル 暗号化・認証などのコア技術 暗号アルゴリズム 18 CC(Common Criteria) • ISO/IEC 15408 として規格化 • セキュリティ評価の枠組み – 利用者はセキュリティ要件(要求仕様)を指定 – 開発者は製品のセキュリティ属性について主張 – 評価者はそのセキュリティ主張を製品が本当に満たしているか どうかを検査 – コンピュータセキュリティ製品の要求仕様を示し,開発し,評価す るというプロセスが厳密な方式で行なわれたという保証を提供す るもの • 評価機関による評価 • 評価結果について国際相互認証制度 (CCRA: CC Recognition Arrangement) • 暗号系の実装に関する詳細は,CCの適用領域外 • ISO/IEC での改訂作業 • 直接安全性を保証するものではない • ITセキュリティ評価認証制度(JISEC) 19 日本におけるCCのしくみ ITセキュリティ評価・認証制度(JISEC) 認証機関 認証 独立行政法人 情報処理推進機構 (Certification) 評価報告 認定機関 評価機関 独立行政法人 製品評価技術基盤機構 (Evaluation) JEITA、ECSEC、MHIR*1 評価機関の認定 (Accreditation) ISO/IEC 15408 評価基準 評価 NITE 評価依頼 申請 認証報告書 認証書 CCRA*2 申請者 IT製品、情報システム のベンダー、提供者など 対象製品 ハードウェア ICカード ソフトウェア *1 JEIIA:社団法人電子情報技術産業協会、ECSEC *2 Common Criteria Recognition Arrangement:CC承認アレンジメント IPA の Web ページより 情報システム 20 ISMS (Information Security Management System) • ISO/IEC 17799(規範), 27001(要求事項) として規格化 • ISMS では – 情報資産(データ,ソフト,機器,物理&人的&無形資産)の特定 – リスクの洗い出し – リスク軽減策による対処 を検討,見直しまで含めて実行 • これらの情報資産に対して価値,影響度,蓋然性を基準として 評価し,守秘性,完全性,可用性の観点からリスク対策を実施 • 審査登録機関による評価 • 企業による宣言とその管理状況が合致しているかを確認 – 費用との兼ね合いも宣言することはセキュリティの決定において重要 • 直接安全性を保証するものではない • ISO/IEC で改訂作業 21 日本におけるISMSのしくみ JIPDEC の Web ページより 22 暗号評価 ーCRYPTRECー • CRYPTREC(暗号技術評価委員会) • 電子政府に推奨できる暗号技術の提示 – 電子政府システムに適用可能な暗号技術を公募 – 暗号技術を技術的・専門的見地から評価 – 安全性,実装性等の特徴を分析・整理したリストを 作成 • 暗号技術標準化への貢献 • 暗号技術に対する信頼感醸成 – 活動の公平性・透明性 (評価活動内容はWEBにて 公開など) 23 電子政府推奨暗号 • 電子政府システムを対象 – 国民との行政サービスに関連するシステムを対象(政府内で合意) – 地方公共団体についても考慮 – 民間への浸透も視野に入れる • 適用期間10年程度 • 国際標準との整合性 – ISO/IEC,NESSIE,AESなどとの協力 • 使いやすい暗号 – システム調達のためのガイドブック • 暗号の利用目的の抽出から暗号アルゴリズムの選定までの手引き • 電子政府推奨暗号及び電子政府推奨暗号リストの解説 • 調達仕様書作成にあたり,暗号に関連して留意すべき点 を示す – 広報・啓発 24 現在のCRYPTREC体制図 (委員長 今井) 暗号技術検討会 (委員長 今井) (事務局:総務省、経済省) (事務局:TAO/NICT, IPA) (委員長 松本) 暗号技術監視委員会 暗号モジュール委員会 (1) 電子政府推奨暗号の監視 [暗号技術監視要員] (2) 暗号アルゴリズム等を主な対象とする 調査・検討 (1) 暗号モジュール評価基準及び試験 基準の作成 (2) 暗号実装関連技術を主な対象とす る調査・検討 (3) 電子政府推奨暗号リストの改訂に関す る調査・検討 暗号技術調査WG 署名・認証技術,ハッシュ関数・暗号利用モード,擬似乱数生成系 25 日本版 CMVP(JCMVP) • CMVP: Cryptographic Module Validation Program (暗号実装検証プログラム) • 暗号アルゴリズムはCRYPTRECリスト等による • FIPS140-2, ISO/IEC 19790 に基づく適合試験 • 2007年4月に開始 – IPAが認証機関 – 試験機関は現在IPAと電子商取引安全技術研究所 – NITE(製品評価技術基盤機構)が認定機関 • 改訂準備中 – FIPS140-3 – CRYPTREC等の研究成果も反映 26 情報セキュリティに関する資格 • CISSP(Certified Information Systems Security Professional): 国際情報システムセキュリティ認証 コンソーシアム[(ISC)2]が認定 • CISM(Certified Information Security Manager): 情報システム監査・制御協会(ISACA)が認定 • CISA (Certified Information Security Auditor):情 報システム監査・制御協会(ISACA)が認定 • NISM (Network Information Security Manager): NISM推進協議会 • 情報セキュリティアドミニストレータ試験(IPAが行う 国家試験)など 27 情報共有・分析のための機関 • 内閣官房情報セキュリティセンター(NISC) • テレコムISAC(Telecom Information Sharing and Analysis Center Japan) • 重要インフラ連絡協議会(CEPTOAR‐Council) – 情報共有分析機能 • JPCERT/CC • 情報処理推進機構(IPA) – ソフトウェア製品/ウェブアプリケーションの脆弱性関連情 報届出 • 分析能力の強化が課題(一元化が重要) 28 「情報セキュリティ早期警戒パートナーシップ」 (脆弱性関連情報取扱いの枠組み) 報告された 脆弱性 関連情報の 内容の確認 情報通知 【分析機関】 報告された 脆弱性 関連情報の 検証 発見者 公表日の決定 海外の調整機関 との連携 対応状況 の集約 公表日の 調整等 システム導入支援者等 【受付機関】 脆弱性関連 【調整機関】 ソフト開発者等 ソフトウェア製品の脆弱性 脆弱性関連 情報届出 対応状況 等公表 政府 企業 個人 セキュリティ対策 推進協議会等 ウェブアブリケーション ( ウェブサイト)の脆弱性 【分析支援機関】 産総研など 脆弱性関連 情報届出 脆弱性関連情報通知 ウェブサイト 運営者 個人情報の漏 えい 時は事実 関係を公表 検証、対策実施 ➀製品開発者及びウェブサイト運営者による脆弱性対策を促進 【期待効果】➁不用意な脆弱性関連情報の公表や脆弱性の放置を抑制 ➂個人情報等重要情報の流出や重要システムの停止を予防 : ユ-ザ IPA の Web ページ 29 より *IPA 独立行政法人 情報処理推進機構、JPCERT/CC:有関責任中間法人、JPCERT コーディネーションセンター、産総研:独立行政法人、産業技術総合研究所 企業における対策 • セキュリティポリシーは大企業では整備されつつあ る. • しかし,統合的な情報セキュリティ対策は十分では ない. – 経営層の明確な意志と徹底,安全な情報資産の共有,法 令遵守,説明責任への対応が重要 – 経営層が適切な情報セキュリティ対策費の決定を助ける 情報の提供が求められる. • 下請け企業,中小企業の情報セキュリティは大きな 課題 30 企業における情報セキュリティガバナンス 株主 報告 経営層 取締役会 監視 報告 監視 企業価値の向上 社会的責任の遂行 開示 取引先,顧客 従業員,社会等 評価 リスク管理 方針決定 モニタリング 管理者層 従業員層 情報セキュリティ対策 法令遵守 情報資産管理 事業継続 企業 経済産業省産業構造審議会情報セキュリティ基本問題委員会中間とりまとめより 31 情報セキュリティ関連学会等 • 日本学術会議情報学委員会セキュリティ・ディペン ダビリティ分科会 – 提言「安全・安心を実現する情報社会基盤の普 及に向けて」2008年6月 • 電子情報通信学会 ISEC研究会 – 暗号と情報セキュリティシンポジウムを毎年開催 • 情報処理学会 CSEC研究会 – コンピュータセキュリティシンポジウムを毎年開催 • より広い分野をより深くカバーする学会が求められ る. 32 SCISの発展 宮崎 長崎 仙台 白浜 大磯 小室 発表件数 参加者数 犬山 琵琶湖 修善寺 蓼科 日本平 御殿場 函南 宝塚 富士裾野 賢島 浜名湖 100 富士吉田 300 200 那覇 福岡 400 神戸 浜名湖 500 浜松 600 広島 舞子 700 0 1984 1987 1990 1993 1996 1999 2002 2005 2008 SCIS(暗号と情報セキュリティシンポジウム)の発表 件数と参加者数の推移 33 情報セキュリティ研究機関 • 産業技術総合研究所(AIST)情報セキュリティ 研究センター(RCIS) • 情報通信研究機構(NICT)情報通信セキュリ ティ研究センター • 大学等 – 電気通信大学,中央大学,横浜国立大学,... • 企業研究所 – NTT,三菱電機,NEC,日立製作所,東芝,富士 通,... 34 情報セキュリティに関する教育・啓発 • 情報セキュリティに関する教育・啓発は,人材育成 も含め,極めて重要であるが,最も難しい. • 情報学教育はノウハウやリテラシに終始し,情報の 本質や情報倫理には至っていない. • 学校教育における情報学教育の充実,地方自治体 等による公開講座,企業内教育制度の推進. • 教育者・技術者・研究者の育成. • 重要情報インフラ等の構築・維持に関する資格認定 制度の導入および有資格者の社会的地位の確立 などが求められる. 35 情報セキュリティ技術(1) • 情報セキュリティ技術の進展 – 情報セキュリティ技術は順調に進展し,応用が拡がると共 に,より精密に安全性評価が行えるようにもなってきた. – 特に暗号技術の発展は著しく,幅広い用途に用いることが できるようになってきた.さらに,その安全性が,ある前提 の下に厳密に証明できる場合も多い. – 一般の情報システムに対しても,それを数学的モデルで表 し,セキュリティおよび攻撃モデルを厳密に定義した上で, 適切な前提の下に安全性を証明するという「暗号的アプロ ーチ」が試みられるようになってきた. 36 情報セキュリティ技術(2) • 情報セキュリティ技術の普及 – 一方,安全性が低くコストの安いシステムが安全性が高くコ ストの高いシステムを駆逐するという状況は変わらない. – また,情報セキュリティ技術が当初想定していた用途以外 に用いられることも多く,問題を生じる原因となる. – このため,安全性,効率,経済性を同時に達成できる技術 とともに,フレキシブルでスケーラブルな技術が重要となっ ている. • 情報セキュリティ技術の拡がり – 情報セキュリティ技術の普及と共に,この技術における人 間や社会の位置づけがより重要なものとなってきた. 37 注目すべきいくつかの技術(1) • ウェブセキュリティ技術 – フィッシング対策技術 • セキュリティ評価技術 – 暗号実装評価技術 – 暗号的アプローチによる耐タンパー性評価技術 – バイオメトリクス認証評価技術 – ソフトウェアの形式検証技術 – 量子暗号の評価・標準化技術 • 耐情報漏洩技術 38 注目すべきいくつかの技術(2) • 次世代暗号技術 – 量子コンピュータにも耐える暗号技術 – 暗号更新技術 • ユビキタス環境下のプライバシー保護技術・ 著作権保護技術 • セキュアソフトウェア構築技術 • マルウェア解析技術 • 情報セキュリティへの経済学的アプローチ – 脆弱性情報共有の経済モデルなど 39 将来に向けて(1) • システムの複雑化・大規模化 – ムーアの法則(1年半で2倍),記憶量,計算速度,システ ムプログラムの行数など – 組合せによって発生する脆弱性 – セキュリティコストの急増,それに対する社会的合意形成 の困難さ – 未知の部分,未知であることすら未知の部分の増大 ⇒顕在化していない脆弱性も多い ⇒体系的対処法(対症療法ではなく,根治療を目指す) – 暗号的アプローチなど(RCIS) 40 将来に向けて(2) • 人の問題 – 他の部分のセキュリティが高くなっても,最後までミス,不 正を皆無にすることはできない ⇒情報セキュリティ文化 – 教育・啓発,情報倫理 ⇒ヒューマンクリプト – 人とコンピュータシステムをセキュリティの面から総合的 に最適化するための技術 • セキュリティは結局社会的合意の下に成立する – 全てにおいて最高の安全性を実現することは,人,コスト, その他の面から見て非現実的 ⇒幅広い視野から総合的な対策を行う必要がある 41 結びにかえて 情報セキュリティの法則12ヶ条 1. 完全な情報セキュリティは存在しない 2. 起こり得ることは起こる 3. 時間は最強の敵 4. 情報セキュリティは最も弱いところで決まる 5. ほとんどの攻撃は迂回路から 6. 屋上屋を架すべし 7. 安全な要素を組合わせても安全とは限らない 8. 情報セキュリティは投資 9. 信頼できるエキスパートに聞け 10. 秘密も権限も最小限に 11. 技術でできるところは技術で行え 12. 情報セキュリティは人に始まり人に終わる 42 独立行政法人 産業技術総合研究所 情報セキュリティ研究センター の概要 情報セキュリティ研究センター (RCIS) 研究センター長 今井 秀樹 2008年7月 43 RCISの概略 • • • • 設立:2005年4月1日 場所:東京都千代田区 秋葉原ダイビル11階 研究員数:50名(2008年7月) 研究費(常勤研究職員給与を除く):約5億8千 万円(2007年度,70%は外部資金) • ミッション – 誰もが安心して利便性を享受できるIT社会の実 現ーー研究成果の社会還元 – RCISを世界の情報セキュリティ研究のコアとする44 センターの構成(2008年5月) 研究センター長: 今井 秀樹(中央大) 副研究センター長:渡辺 創 米澤 明憲(東大) 研究顧問: 松本 勉 (横国大) 研究系47名(常勤研究職員25,招聘研 究員5,PD6,テクニカルスタッフ6,イン ターン1,非常勤研究職員4,内常駐39) 客員研究員5名,外来研究員3名 事務系5名 合計60名 主幹研究員: 古原 和邦 セキュリティ基盤技術研究チーム(17(7)名) 研究チーム長: 大塚 玲 物理解析研究チーム(9(6)名) 研究チーム長: 今福 健太郎 ソフトウェアセキュリティ研究チーム(13(7)名) 研究チーム長: 柴山 悦哉(東大) ハードウェアセキュリティ研究チーム(3(3)名) 研究チーム長: 佐藤 証 45 研究発表等 • 誌上発表: – 46件(2005), 117件(2006), 132件(2007) • 口頭発表: – 43件(2005),133件(2006), 145件(2007) • 著書刊行物等: – 1件(2005), 9件(2006), 5件(2007) • イベント出展: – 5件(2005),4件(2006) – CEATEC JAPAN 2005, 研究成果報告会(毎年度)など • プレス発表: – 1件(2005), 1件(2007), 2件(2008.5現在) 46 受賞 • 2008年 – – – – – • 2007年 – – – – – • 電子情報通信学会論文賞 情報処理学会国際規格開発賞 Dahl-Nygaard 賞 CNRS Silver Medal JWIS Lifetime Achievement Award Wilkes Award (British Computer Society 年間1件の最優秀論文賞) IACR Fellow 情報セキュリティ文化賞(2名同時受賞) IACR Asiacrypt 2007 論文賞 2007年度YRP奨励賞 2006年 – 電子情報通信学会 暗号と情報セキュリティシンポジウム論文賞 – 情報理論とその応用学会奨励賞 – 11th Australasian Conference on Information Security and Privacy (ACISP’06), Best Student Paper Award • 2005年 – International Conference on Wireless Personal Multimedia Communications (WPMC’05)論文賞 – エリクソン・テレコミュニケーション・アワード – 平成17年度日本セキュリティマネジメント学会論文賞 – 電子情報通信学会 暗号と情報セキュリティシンポジウム論文賞 47 研究概要 高機能/高セキュリティサービスの実現⇒安全・安心な国民生活 企業 プロジェクト型研究 政府機関 チーム研究 • チーム研究 – 安全性を保証する基礎技術を開発 – JSPS, JST 等から外部資金を獲得して研究 大学 公的研究機関 • 融合チームによるプロジェクト型研究 – 企業,公的資金を利用した応用~実用研究 • 2008年度4月ハードウェアセキュリティ研究チームを発足 – 日本トップレベルの研究者を2007年度中堅採用、情報技術研究部門との連携 – 5月より米国 NIST へ1年間研究員を派遣 (CMVP 関係) 48 主要な研究成果 z 耐情報漏洩性をもつ認証・鍵共有技術(LR-AKE) z 暗号モジュールテストベットプロジェクト z フィッシング対策技術「HTTP 相互アクセス認証」 z 暗号基礎理論(暗号の高安全化・高機能化の理論) z 著作権保護のための電子透かしにおける実用的結 託耐性符号,効率のよい放送暗号 z モバイル匿名認証技術,軽量匿名認証技術 z バイオメトリクスの安全性指標開発(ウルフ攻撃確率 による評価の提案など) z 物理系における情報量の取得と擾乱の一般的関係 の導出(Information-Disturbance Theorem) z ソフトウェアセキュリティのための形式検証技術 49 z 安全性を保証するC言語処理系の開発 耐情報漏洩性をもつ認証・鍵共有技術 (LR-AKE) 暗号鍵の漏洩対策(セキュリティ崩壊を避ける) サーバーに格納された秘密(パスワード)の漏洩に対するセキュリティを向上 クライアントが検証用データ(パスワードから生成)をサーバーに登録(検証用データか らはパスワードを復元できない) 50 50 暗号モジュールテストベットプロジェクト 51 フィッシング対策技術「HTTP 相互アクセス認証」 ユーザ認証要求時 ログイン状態 提案方式の試験実装(サーバ,ブラウザ) 52 RCISのわが国における位置付け 政府 日本学術会議 CRYPTREC 情報提供 IPA, NITE, JST etc. 標準化活動 標準化団体 学会 情報交換 産業技術総合研究所 シンクタンク 情報セキュリティ 研究センター プロジェクト 成果発表 公的研究機関 (NICT他) 共同研究 企業 大学 53 海外機関との連携 United Kingdom Royal Holloway, University of London . Korea Information & Communications Univ. USA Columbia Univ., North Carolina Univ., Univ. Hawaii ・ Regular Consultative Meetings Japan IPA (Validation Policy Making) ・ Framework Agreement ・ Committee Meetings AIST USA NIST Validation Policy Making Fundamental Research ・ Guest Researcher Program ・ Workshops & Meetings (Fundamental Research) Germany Karlsruhe University France INRIA (l'Institut National de Recherche en No. 54 Informatique et en Automatique) Taiwan TWISC (Taiwan Information Security Cente) 54 学会活動等 • 2005 IEEE情報理論ソサイエティITW (情報理論的セキュリティに関するワークショップ)開催 – 情報理論的セキュリティに関する初めての国際会議 • 2007 Trusted Computing技術に関するアジアパシフィックサ マースクール開催協力 • 国際量子暗号会議 (UQC 2007) の開催(IPA, NICT と共催) – 各国政府機関、企業、大学の研究者を一堂に集めた世界初の会議 • ASIACCS’08 (ACM) を開催 • 国際会議運営支援 – WPMC運営委員会共同委員長,PKC運営委員会委員長,Asiacrypt 運営委員会顧問など,2006ISITA実行委員長,2007ACM SIGCOM Workshop LSAD実行委員長など,その他多数の国際会議でプログラ ム委員,査読委員 • 学会論文誌編集 – IEEE情報理論誌特集号編集長,その他編集委員,査読委員など 55 社会への貢献 • 実用化を目指して – Fail-Safe C,フィッシング防止システムなど • 標準化を目指して – 情報漏洩に耐性を持つ認証方式・暗号化方式(LR-AKE など),バイオメトリック認証法の安全性評価法,量子暗 号技術など • 評価 – 情報基盤,ICカード,ソフトウェア • 教育・啓発 – 映像コンテンツ報道・配布 http://kumikomisec.jp/report/080331/index.html – 各種講演(Webセキュリティについてなど) – 一般向けセキュリティ講座の Web 公開 56
© Copyright 2024 ExpyDoc