巻頭言

安心安全な社会の構築に向けて~人間中心の技術開発を~

伊東 寛… 1

研究論文
Research papers

安全性と有用性のトレードオフが制御可能な顔画像の匿名化方式
Controlling Tradeoff between Security and Usability in Anonymizing Face Images

村木 友哉、内田 貴之、市野 将嗣、越前 功、吉浦 裕… 3
Tomoya MURAKI, Takayuki UCHIDA, Masatsugu ICHINO,
Isao ECHIZEN and Hiroshi YOSHIURA

Japanese Loyalty Programs: An Empirical Analysis on their Liquidity,
Security Efforts, and Actual Security Levels

Bongkot JENJARRUSSAKUL and Kanta MATSUURA… 17

解説
Commentaries

ITリスクに対するリスクコミュニケーションベースアプローチ
Risk-Communication Base Approach against IT Risk

佐々木 良一…33
Ryoichi SASAKI

Overview of Cross-Site Scripting (XSS) Attack and Defense

Chan Sambathratanak…43

ニュースレター Newsletter

………………………………………………51

======================================================================================

研究論文
Research papers

安全性と有用性のトレードオフが制御可能な
顔画像の匿名化方式

Controlling Tradeoff between Security and Usability
in Anonymizing Face Images

電気通信大学    村 木 友 哉

The University of Electro-Communications  Tomoya MURAKI

電気通信大学    内 田 貴 之

The University of Electro-Communications Takayuki UCHIDA

電気通信大学    市 野 将 嗣

The University of Electro-Communications Masatsugu ICHINO

国立情報学研究所    越 前  功

National Institute of Informatics    Isao ECHIZEN

電気通信大学    吉 浦  裕

The University of Electro-Communications Hiroshi YOSHIURA

要 旨

近年,SNSや写真共有サイトの普及により,多くの顔画像がインターネット上に開示されている.一方で,匿名で開示された写真に写る顔と実名で開示された写真に写る顔とが照合されることで,匿名写真の人物が特定されることが問題となっている.上述した問題を解決する代表的な手法は,顔画像を匿名化することである.しかし,従来の顔画像匿名化手法は,安全性を数学的に定義していないことに加え,匿名化によって元の写真の自然さを損なうという問題があった.本論文では,匿名性が破られることを,匿名で開示する顔画像が,同一人物の実名で開示済みの顔画像に照合されることと定義した上で,既に開示された顔画像集合の中に,新たな顔画像を匿名で開示する場合の匿名化手法として,類似性に基づく以下の匿名化手法を提案する.

・匿名化した顔画像をもとに既開示済み顔画像集合の中から類似の顔画像を検索し,最も類似したK件を求めたときに,同一人物の既開示画像がその任意の1つになるように匿名化を行う.

上記の提案手法を用いて匿名化した顔画像から同一人物の実名で開示された顔画像が1/Kの確率でしか照合できないことを理論的に示す.さらに,提案手法を用いた顔画像匿名化を実装し,パラメータKによって顔画像の個人の特定に対する安全性と有用性の制御が可能であることを実験により示した。

キーワード

プライバシー,匿名化,顔画像

————————————————————————————

 

Japanese Loyalty Programs: An Empirical Analysis on their Liquidity,
Security Efforts, and Actual Security Level

Institute of Industrial Science, the University of Tokyo
Bongkot JENJARRUSSAKUL

Institute of Industrial Science, the University of Tokyo
Kanta MATSUURA

Abstract

In cyberspace, virtual currency is an important medium of exchange. Due to the usage of loyalty program (LP), it is also considered as a type of virtual currency. Loyalty program is widely used in many countries. In the U.S., according to a report in COLLOQUY talk [3], the total number of LP memberships is more than 2.6 billion in 2012 after 26.7% growth from 2010. LPs are very popular in Japan, too; there are more than 200 LPs in Japan and the use of them is widespread among Japanese people. With variety of redemption options, LPs in Japan are getting more and more popular and liquid virtual currencies. This situation can motivate malicious people to abuse such increasingly useful LPs for crimes, and in fact, there are some reports of such crimes. However, the security issues of LPs have not been well studied. In this paper, we empirically investigate Japanese LPs with focuses on their liquidity, their operating firms’ security efforts, and the LP systems’ actual security levels. Our preliminary and advanced analyses show that liquidity is an important factor and strong security-related requirements in the LP systems would significantly reduce the impact from security incident.

 

Keywords
Information security, Loyalty programs, Liquidity, Security efforts,
Actual security level.
————————————————————————————

解説
Commentaries

 ITリスクに対するリスクコミュニケーションベース
アプローチ

Risk-Communication Base Approach against IT Risk

東京電機大学    佐々木 良 一

Tokyo Denki University     Ryoichi SASAKI

要 旨

社会のITシステムへの依存の増大に伴い,ITシステム関連の安全の問題を従来の情報セキュリティ技術だけで解決するのは困難な時代になりつつある.このため,報告者らは不正によるものだけでなく,天災や故障ならびにヒューマンエラーも対象とし, ITシステムが扱う情報だけでなくITシステム自体やITシステムが扱うやサービスに関連して発生する安全の総合的問題を「ITリスク」と呼び,研究を進めてきた.その検討の中でITリスクの問題の解決は困難な課題なので人知を集める必要があることや,関与者が種々の意見を持つ等の理由によりリスクコミュニケーションベースのアプローチが不可欠であることを確認し,5つの課題を明確化した.あわせて課題解決のためのツールとして,組織内合意形成用に多重リスクコミュニケータMRCや社会的合意形成用に社会的合意形成支援システムSocial-MRCの開発を行ってきた.本稿では,これらの研究結果をまとめて報告する。

キーワード

ITリスク,リスクコミュニケーション,リスクマネジメント,リスクコミュニケータ

————————————————————————————

Overview ofCross-Site Scripting (XSS) Attack and Defense

Department of Computer Science National Defense Academy of Japan
Chan Sambathratanak

Introduction

Cross-site scripting (XSS) is one of the most common computer security vulnerabilities that usually found in today web applications security. XSS enables an attacker to inject malicious script into a vulnerable dynamic web page to trick the user to execute the script on his/her browser in order to steal sensitive data including credit card numbers, social security numbers and even medical records.

There are many types of countermeasures, which can be used to prevent XSS. However, those methods cannot perfectly prevent XSS attacks which sometimes attackers can bypass and successfully perform the XSS attack. Currently, there are many information described Cross Site Scripting holes but not many of those information really explain XSS to an average person or administrator. The purposes of this commentary are to provide a better understanding about this XSS threat, and to give instruction on detection and prevention.

 

————————————————————————————