2017年4月24日
第2回「辻井重男セキュリティ論文賞」審査委員会
第2回「辻井重男セキュリティ論文賞」審査講評
2008年から日本セキュリティ・マネジメント学会と情報セキュリティ大学院大学が共同運営してまいりました「辻井重男セキュリティ学生論文賞」は、2015年度より衣替えし、「辻井重男セキュリティ論文賞」として再スタートしました。
第2回となる2016年度は、17件の応募をいただきました。応募論文の分野は、暗号、認証、ネットワークセキュリティ、コンピュータセキュリティ、セキュリティ・マネジメント、デジタルフォレンジックを含む、情報セキュリティにおける幅広い範囲に及びました。
審査は、これらの17件を対象として、32名の審査委員により1次審査と2次審査に分けて行いました。
1次審査では、新規性(新たな分野の研究であるか、新たな主張があるか)、有用性(情報セキュリティ分野の発展に寄与するものであるか、現状を的確に把握し論文の位置づけ・目的・必要性・貢献が明示されているか)、信頼性(論文の構成が論理的か、論旨が適切に展開されているか、仮説の検証が十分なされているか、先行研究や参考文献などで論拠が示されているか)を基準に、審査委員の専門分野との関連性や本賞の主旨との整合性も考慮して絶対評価を行いました。
2次審査では、1次審査の評価が高かった論文を中心に候補論文を絞り込みました。いずれの論文にもそれぞれの長所があり、最終選考は困難を伴いました。当該分野の発展を願う立場から、この困難は嬉しい悲鳴であり、ご応募いただいた皆様に深く感謝いたします。
具体的な議論を積み重ねた審査の結果、最終的に辻井重男セキュリティ論文賞大賞1件、同特別賞3件、同優秀賞2件を選定し、4月22日に開催されたJSSM第11回公開討論会にて表彰式を執り行いました。
受賞論文と審査講評は、以下の通りです。受賞者の皆様、おめでとうございます。
1.辻井重男セキュリティ論文賞大賞1件
●主筆者: Tibouchi Mehdiさん(NTTセキュアプラットフォーム研究所)
タイトル: 『Zeroizing Attacks on Indistinguishability Obfuscation over CLT13』
講評: 「識別不可能難読化 (indistinguishable obfuscation, iO)」とは、プログラム難読化技術の一種である。同一機能を果たすプログラムのうち、どのプログラムを用いているかを隠すことのできる弱い意味での難読化であるが、様々な高機能暗号を生み出す重要なブレークスルー技術であると考えられている。そのようなiOは多重線形写像と呼ばれる暗号プリミティブに基づいて構成されるが、その安全性についてはなお研究を要する状況である。本論文は、従来比較的安全と思われていた、CLT13方式の多重線形写像に基づいたiOにも深刻な脆弱性があることを斬新な手法で示した。本論文の着想は深く、CLT13方式の多重線形写像からiOを構成する際に用いられる、基本的なデザインそのものに疑問を投げかけるものである。実際、提案手法は、既存の攻撃手法がカバーできていなかった、多くのケースを攻撃することに成功している。iO自体はいまだ実用性があるとは言えないものの、暗号界においてここ数年で最も波紋を起こしたトピックの一つであり、本論文は近年の暗号理論の展開に極めて重要な一石を投じる、大変興味深い論文である。以上のことから、本論文は、辻井重男セキュリティ論文賞大賞にふさわしい。
2.辻井重男セキュリティ論文賞特別賞3件(順不同)
●主筆者: 中島将太さん(立命館大学)
共同執筆者: 明田修平さん(立命館大学)
瀧本栄二さん(立命館大学)
齋藤彰一さん(名古屋工業大学)
毛利公一さん(立命館大学)
タイトル: 『動的解析ログを活用した静的解析補助手法』
講評: マルウェアの解析手法のうち動的解析は、短時間、低コストに実施できる上、マルウェアの難読化による解析妨害の影響を受けにくいが、詳細な分析はできない。一方、静的解析は詳細な分析が可能であるが、難読化への対処や実行時のみ出現するコードの分析はできない。そこで、動的解析と静的解説の併用が重要となるが、熟練技術者の人手作業に依存することが多かった。本論文は、動的解析によって得られた情報を静的解析で利用する斬新な手法を提案している。システムトレーサを用いた動的コードの取得により、実行時のみ出現するコードの静的解析を可能とし、逆アセンブラを用いたAPI呼び出し情報と逆アセンブルコードの対応付けにより、API呼び出し情報の静的解析を容易にした。提案手法を実装し、難読化機能を持つ2種類のマルウェア検体を用いて、動的解析での情報抽出と静的解析での利用可能性および併用の効果を明らかにした。提案手法は、同様目的の従来技術に比べて、環境に依存しない汎用性とシステム全体を解析できる網羅性の点で優れている。重要な問題に対して有用性の高い手法を提案しており、新規性も高い。以上のことから、本論文は、辻井重男セキュリティ論文賞特別賞にふさわしい。
●主筆者: 高安敦さん(東京大学)
共同執筆者: Yao Luさん(東京大学)
Liqiang Pengさん(中国科学院)
タイトル: 『Small CRT-Exponent RSA Revisited』
講評: RSA暗号方式の効率的なバリエーションのひとつとしてCRT-RSA方式が知られている。本論文は、小さいCRT指数を用いた方式に対する格子ベースの暗号解析に深い洞察で取り組み、CRT-RSA鍵生成を対象に優れた格子の構成手法を提案している。特に、用いられる合成数の一方の素因数pが他方の素因数qよりも極端に小さく、秘密鍵として用いられるqに関する逆元も小さい場合には、May (CRYPTO2002) やBleichenbacher, May (PKC2006) が未解決問題として提示した問題に対して一種の解を与えている。また、本論文において提案されている格子の構成技術により、既知の攻撃手法を複数、改良できることも示されている。例えば、Multi-Prime RSA方式、Takagi-RSA方式、複数の指数対を用いたRSA暗号方式などのRSA暗号方式のバリエーションに対する攻撃手法が改良できる。
このように、本論文はRSA暗号方式とそのバリエーションに対する格子を用いた攻撃手法に関して重要な知見を与えている。以上のことから、本論文は、辻井重男セキュリティ論文賞特別賞にふさわしい。
●主筆者: 栗原佑介さん(東京大学)
タイトル: 『営業秘密侵害訴訟におけるディジタル・フォレンジクスの可能性』
講評: ディジタル・フォレンジクスに関する論文は、ようやくその数が多少増えてきたところではあるが、その中でも知的財産保護や営業秘密保護との係わりに関して検討したものはまだ殆ど無く、そのテーマを取り扱った本論文は非常に意欲的なものである。
営業秘密は技術情報だけでなく、顧客名簿などの個人情報も保護しており、情報セキュリティ保護制度としての役割は大きい。そしてその訴訟実務においては、営業秘密が成立する三要件うち情報の「秘密管理性」の確保をもって侵害の有無が判断されることが多く、そこにディジタル・フォレンジクスを用いる余地は十分にある。本論文でもその点に着目しており、その為の基礎理論を固めるため、民事訴訟・刑事訴訟の両側面から証拠の有効性に関する日米の法制度の基礎研究を行っている。その上で、仮想通貨で使われるブロックチェーンのような新技術に着目し、この不可逆性や改ざんの困難な特性を知財紛争処理システムに応用することを提唱しており、この点においては今後の更なる発展研究を期待したい。
以上のことから、本論文は、辻井重男セキュリティ論文賞特別賞にふさわしい。
3.辻井重男セキュリティ論文賞優秀賞2件(順不同)
●主筆者: 勝又秀一さん(東京大学)
共同執筆者: 山田翔太さん(産業総合研究所)
タイトル: 『Partitioning via Non-Linear Polynomial Functions: More Compact IBEs from Ideal Lattices and Bilinear Maps』
講評: IDベース暗号(IBE)は、従来の公開鍵暗号よりも扱いやすい側面を持つ暗号として提案された暗号であり、強固なデータ保護を実現しつつ、プロトコルの簡略化や通信データ量の削減などが可能な暗号としての期待がある。そのため、メールシステムに利用されたり、車のETCなどへの応用が研究されたりするなど、非常に注目を集めている。
IBEにおける課題の1つとして、強い安全性を満たしつつ、いかに弱い困難性仮定から効率的な構成を達成するか、というものがある。本論文では、Ring Learning with ErrorsおよびBilinear Mapsをベースとした新たな2つの構成を示しており、さらに完全準同型落とし戸関数などを適用することで効率的な構成を提案している。その結果、どちらの構成においても従来研究と比べて大幅なパラメータの削減を達成しており、実用性がとても高い研究である。また本論文は、暗号の構成や正当性・安全性の証明、パラメータの選択方法などを詳細に記述していることから、高い信頼性を備えた論文であり、今後の当該分野の発展に大きく寄与するものと考えられる。
以上のことから、本論文は、辻井重男セキュリティ論文賞優秀賞にふさわしい。
●主筆者: 杉本暁彦さん(日立製作所)
共同執筆者: 磯部義明さん(日立製作所)
仲小路博史さん(日立製作所)
タイトル: 『サイバー攻撃の侵入経路を考慮したセキュリティリスク評価技術』
講評: 脆弱性情報の公開直後からその脆弱性を狙った攻撃が顕著になり、企業などの情報システム部門は迅速な対処が求められている。特に大規模なシステムでは、侵入経路を網羅的に検討の上、サイバー攻撃の到達可能性やその容易性などを考慮して優先的に対処すべき脆弱性を迅速に決定する必要に迫られるが、攻撃経路が数億通りにも達し人手による評価は困難になっている。本論文はこの困難さに取り組み、公開情報とシステム構成情報に基づき予測されるサイバー攻撃の侵入経路を網羅的に抽出し、新たに構築したリスク評価モデルを用いて、影響を受ける対象システムの範囲として喫緊に対処が必要な部分の特定を可能とする技術の有効性を示している。特に、サイバー攻撃の侵入経路のグラフモデルを構築し、ネットワーク到達性、侵入経路の多様性、影響拡大の可能性の3項目に注目したリスク評価を採用するとともに、大規模システムにおいても十分実用化に耐える機能と性能を評価実験で実証していることなどが注目に値する。解決すべき点が若干あることも把握されており、その点を踏まえても、当該分野の発展に寄与する論文である。
以上のことから、本論文は、辻井重男セキュリティ論文賞優秀賞にふさわしい。
以上