23巻 第3号 2009年12月


巻頭言

    キュリティ対策をリスクとの関係で説明すると

                     大内 功 1

研究論文
Research papers

    情報セキュリティ事故における説明責任と
    インセンティブについての考察


    
An Incentive Analysis of Accountability for Information Security Accidents

  田沼 均、大塚 玲、松浦幹太、今井秀樹… 3
Hitoshi TANUMA, Akira OTSUKA,  
Kanta MATSUURA and Hideki IMAI
 

    不鮮明化画像が実現するスキーマを利用した
    
画像認証方式の改良

    
An Enhanced User Authentication System
      Using Schema of Visual Memory Achieved by Unclear Image

 山本 匠、原田篤史、漁田武雄、西垣正勝17
Takumi YAMAMOTO, Atsushi HARADA,  
Takeo ISARIDA and Masakatsu NISHIGAKI

 

研究ノート
Research note

    国家機密の保護-機密区分管理  

    
Protection of National Security Information – Classification Management

今道周雄…30
Chikao IMAMICHI

   画像記憶のスキーマを利用した認証方式の改良:
   
ストーリーの利用による記憶負荷の削減

    
An Improvement of User Authentication Using Schema of Visual Memory:
      Exploitation of “Schema of Story”

山本 匠、原田篤史、漁田武雄、西垣正勝…39
Takumi YAMAMOTO, Atsushi HARADA,  
Takeo ISARIDA and Masakatsu NISHIGAKI

 

解説
Commentaries

   ERMとシステム監査

   
Enterprise Risk Management and Information Systems Auditing

島田裕次…49
Yuji SHIMAD

   情報セキュリティガバナンスとシステム監査

    
Attempt to be Established ofForensics Investigation

原田要之助…54
 
Yonosuke HARADA 

ニュースレター
Newsletter

………………………………………………61

  


 情報セキュリティ事故における説明責任と
インセンティブについての考察

 An Incentive Analysis of Accountability for Information Security Accidents

  産業技術総合研究所、中央大学      田 沼   均

 National Institute of Advanced Industrial Science and Technology, Chuo University   Hitoshi TANUMA

産業技術総合研究所、中央大学      大  塚     玲

 National Institute of Advanced Industrial Science and Technology, Chuo University   Akira OTSUKA

 東京大学生産技術研究所      松  浦  幹  太

              The University of Tokyo    Kanta MATSUURA

産業技術総合研究所、中央大学      今  井  秀  樹

 National Institute of Advanced Industrial Science and Technology, Chuo University         Hideki IMAI

要 旨

情報セキュリティ投資には経済外部性が存在し、適切なセキュリティ投資がなされないといわれる。その解決策の一つとして不法行為法による責任の活用が考えられる。そこで本論文では情報セキュリティ事故の典型的な形である事故の関与者による脆弱性が攻撃者により攻撃される場合を想定して過失ルールおよび説明責任についての経済分析を行った。その結果、情報セキュリティ事故のもう一つの特徴である事故調査の必要性から関与者へ情報セキュリティ事故に対する説明責任を果たす必要があることを示した。

キーワード

 不法行為法説明責任経済分析インセンティブ

------------------------------------------------------------------------------------

 

不鮮明化画像が実現するスキーマを利用した
画像認証方式の改良

An Enhanced User Authentication System
Using Schema of Visual Memory Achieved by Unclear Image

静岡大学創造科学技術大学院 日本学術振興会特別研究員 (DC)      山 本   匠

 Graduate School of Science and TechnologyShizuoka University             
Research Fellow of the Japan Society for the Promotion of Science (DC)   Takumi YAMAMOTO

三菱電機株式会社      原 田 篤 史

 Mitsubishi Electric Corporation    Atsushi HARADA

 静岡大学情報学      漁 田 武 雄

              Faculty of InformaticsShizuoka University       Takeo ISARIDA

静岡大学創造科学技術大学院 科学技術振興機構,CREST      西 垣 正 勝

 Graduate School of Science and TechnologyShizuoka University             
Japan Science Technology and AgencyCREST  Masakatsu NISHIGAKI

要 旨

近年,人間の画像認識能力の高さを利用して記憶負荷を軽減させる画像認証方式が注目されている。しかしながら,画像認証方式は毎回の認証時にパス画像がディスプレイ上に表示されるため,認証時の覗き見攻撃に対して脆弱であった。この問題に対し,覗き見をする攻撃者にとってパス画像の記憶が困難となるように,モザイク化等の不鮮明化処理を施した一見すると無意味に見える画像(不鮮明化画像)をパス画像として使用する「画像記憶のスキーマを利用したユーザ認証方式」が提案されている。しかし,不鮮明な画像であっても,同じパス画像を毎回の認証で用いる限り,攻撃者にそれを覚えられる可能性が残る。この問題に対しては,正規ユーザにm枚のパス画像を記憶させた上で,1回の本人認証にあたってn枚(mn)のパス画像を用いて認証を行うという運用(以降,m-n対策と呼ぶ)が考えられるが,パス画像の増加にともなうユーザの負荷増大を緩和する工夫なくしてはその導入は難しい。また,一般の画像認証方式においては,囮画像(認証画面にパス画像と共に表示される複数の画像)の用意およびその頻繁な更新が難しく,不鮮明化画像を用いた方式においても,この問題は未解決のままであった.そこで本論文では,不鮮明な画像を利用する画像認証方式だからこそ実現可能な方法で,両問題の解決を図る。m-n対策導入時のユーザの負荷に対しては「パス画像を思い出すにあたっての手がかりとなる言語情報を認証時にヒントとして提示する方法」を,囮画像の用意に対しては「不鮮明化画像を加工することによって自動的に囮画像を生成する方法」を用いて本方式の改良を行う。本論文では改良方式のプロトタイプシステムを実装し,比較実験により改良方式の有効性を確認する。

キーワード

 画像認証 覗き見攻撃 スキーマ 不鮮明化画像 言語手がかり 囮画像

------------------------------------------------------------------------------------

 

国家機密の保護-機密区分管理

Protection of National Security Information – Classification Management

コンサルタント   今 道 周 雄

 Independent Consultant   Chikao IMAMICHI

要 旨

先に本学会誌で発表した「国家機密の保護制度と技術」1)において、現在の日本の国家機密保護制度では情報システム技術と、法律および行政規則を総合した検討が不足していることを指摘した。なかでも機密情報の統一的な区分管理方法が確立されていないことが問題である。そこで本稿では機密情報区分管理に必要な、機密情報の特性、機密区分をするための原則、機密レベルの決め方、機密指定を適用する期間の決め方、機密指定を解除する場合の判断基準、などについて述べる。機密区分管理に関する論文で、もっともよくまとめられている米国の機密情報区分管理に関する教育資料を引用し、日本の制度や事例と対比しつつ検討する。

キーワード

 国家安全保障に関わる情報、機密指定、機密指定解除、情報保護、実質秘、形式秘、機密、 極秘、秘、情報開示リスク、意識、暴露

------------------------------------------------------------------------------------

 

画像記憶のスキーマを利用した認証方式の改良:
ストーリーの利用による記憶負荷の削減

An Improvement of User Authentication Using Schema of Visual Memory:
Exploitation of “Schema of Story”

静岡大学創造科学技術大学院 日本学術振興会特別研究員 (DC)      山 本   匠

 Graduate School of Science and TechnologyShizuoka University            
Research Fellow of the Japan Society for the Promotion of Science (DC)   Takumi YAMAMOTO

三菱電機株式会社      原 田 篤 史

 Mitsubishi Electric Corporation    Atsushi HARADA

 静岡大学情報学      漁 田 武 雄

              Faculty of InformaticsShizuoka University       Takeo ISARIDA

静岡大学創造科学技術大学院 科学技術振興機構,CREST      西 垣 正 勝

 Graduate School of Science and TechnologyShizuoka University             
Japan Science Technology and AgencyCREST  Masakatsu NISHIGAKI

要 旨

近年,人間の画像認識能力の高さを利用して記憶負荷を軽減させる画像認証方式が注目されている。しかしながら,画像認証方式は毎回の認証時にパス画像がディスプレイ上に表示されるため,認証時の覗き見攻撃に対して脆弱であった。この問題に対し,覗き見をする攻撃者にとってパス画像の記憶が困難となるように,モザイク化等の不鮮明化処理を施した一見すると無意味に見える画像(不鮮明化画像)をパス画像として使用する「画像記憶のスキーマを利用したユーザ認証方式」が提案されている。しかしながら,不鮮明な画像であっても,毎回の認証で同じパス画像を用いている限り,覗き見攻撃者にそれを覚えられる可能性が残る。そこで本稿では,ユーザにm枚のパス画像を記憶させた上で,その中のn枚(mn)のパス画像を用いて認証を行うという改良を基本方式に加える.認証の都度,n枚の画像を選び直すことで,覗き見攻撃は格段に困難になると期待される。本方式では,ユーザは,1回の認証で利用するパス画像の枚数より多くパス画像を記憶する必要がある。そのため,いかにユーザに複数のパス画像を効率よく記憶してもらうかが重要になる。本稿では,パス画像を効率よく記憶する手段として,ユーザに一本の動画を覚えてもらい,動画中の各コマをパス画像として利用するという方法を採用する。これによりユーザは,ストーリーを持った複数のパス画像を容易に覚えることができるようになると考えられる。本稿では改良方式のプロトタイプシステムを実装し,比較実験により改良方式の有効性を確認する。

キーワード

 画像認証 覗き見攻撃 スキーマ 不鮮明化画像 ストーリー 動画

------------------------------------------------------------------------------------