2015年4月1日
辻井重男セキュリティ論文賞審査委員会
新生「辻井重男セキュリティ論文賞」 審査講評
2008年から日本セキュリティ・マネジメント学会と情報セキュリティ大学院大学が共同運営してまいりました「辻井重男セキュリティ学生論文賞」は、今年度より衣替えし、新たに「辻井重男セキュリティ論文賞」として再スタートをすることになりました。
新生「辻井重男セキュリティ論文賞」には、26件の応募をいただきました。応募論文の分野は、マルウェア及び不正侵入対策、暗号及び暗号プロトコル、セキュリティマネジメント、監視及び監査、認証、セキュアシステム、アクセス制御、セキュリティ関連の法律と多岐に渡りました。
審査は、これらの26件を対象として、26名の審査員により1次審査と2次審査に分けて行いました。
1次審査では、新規性(新たな主張があるか、先行研究等との関係が示されているか)、有用性(発展に寄与するか)、信頼性(論理展開が妥当で主張の根拠が示されているか)を基準に、審査員の専門分野との関連性を考慮して評価を行いました。
2次審査では、1次審査の評価が高かった論文を中心に候補論文の絞り込みを行いました。いずれの論文も受賞にふさわしい内容で、真剣にかつ熱のこもった審査が行われました。応募いただいた皆様に感謝いたします。
審査の結果、辻井重男セキュリティ論文賞大賞1件、同特別賞3件、同優秀賞3件を選定し、3月18日に開催された第10回JSSMセキュリティ公開討論会にて表彰式を執り行いました。
受賞者と審査講評は以下の通りです。受賞された皆様、おめでとうございます。
1.辻井重男セキュリティ論文賞大賞1件
●佐々木崇裕さん(情報セキュリティ大学院大学)
『情報セキュリティ分野におけるヒヤリ・ハット情報の収集について』
講評:本論文は情報セキュリティの分野において、人の行動に起因するヒヤリ・ハット情報を収集するシステムを具体的に提案している。まず、ヒヤリ・ハット情報収集システムがすでに導入されている航空と医療の分野について、その利用のされ方を整理し、これらの分野において収集に成功している要因として、報告者匿名化のプロセスがシステムに組み込まれていることや中立的第三者機関への報告の形をとっていることなどを明らかにしている。続いて、情報セキュリティの分野におけるヒヤリ・ハット情報の収集に関する現状調査をISMS認証取得組織などに対して実施、条件が満たされればヒヤリ・ハット情報を第三者機関に提供する意思のある組織が一定数以上あることを確認したうえで、新たにヒヤリ・ハット情報収集システムを提案している。本論文は、これまでヒヤリ・ハット情報収集システムが存在しなかった情報セキュリティ分野について、先行分野における成功要因を分析してその有効性を客観的に評価するとともに、アンケート調査によってヒヤリ・ハット情報収集システの実現可能性を確認している。以上のことから、本論文は新規性、有用性、信頼性、将来性のいずれにおいても優れており、辻井重男セキュリティ論文賞大賞にふさわしい。
2.辻井重男セキュリティ論文賞特別賞3件(50音順)
●川口信隆さん(株式会社日立製作所)
築地原護さん(株式会社日立アドバンストシステムズ)
井手口恒太さん(株式会社日立製作所)
冨村英勤さん(株式会社日立製作所)
『不審活動の端末間伝搬に着目した標的型攻撃検知方式』
講評:昨今の標的型攻撃の検知においては、単一ホストにおける検知だけでは不十分であり、複数のホストにおける様々な種類の不審活動を分析する必要がある。攻撃対象の組織への侵入段階から内部での調査、最終目的となる情報資産への到達といった攻撃者の拡散経路を特定していくことで、攻撃の全貌が明らかになる。本論文は、ホストにおける不審活動を、普段実行しないプロセスの起動といったアノマリ型と、通常でも発生するが攻撃中に発生する頻度が高い実行ファイルの作成といったミスユース型に分類し、一定時間における不審活動の観測頻度に基づいて不審ホストを特定する。また、不審ホスト間の通信を有向エッジとする不審活動グラフを構築して、拡散経路を特定する。実環境における誤検知の評価と、3種類の典型的な標的型攻撃を模擬した検知精度の評価により、提案方式の有効性を示している。提案方式のユースケース、標的型攻撃による想定脅威など、実際の環境や多数の事例をもとにしており、実用性に優れた研究であり、今後発生しうる多様なパターンの標的型攻撃に対しても適用できる可能性が高いといえる。
●関根基晴さん(東京電機大学)
芦野佑樹さん(日本電気株式会社)
『クラウドシステムの運用時における動的セキュリティ評価方式の開発と評価』
講評:IT システムの利用においてセキュリティ標準への準拠が求められるのはクラウドサービスも例外ではない。しかし、仮想化技術を用いたクラウドサービスは、物理的なスケールアウトの容易さ、論理的なシステム構成の柔軟さから、運用中にシステム構成が頻繁に変更される。従来、設計段階での静的なシステム構成を前提にしたセキュリティ標準への準拠性の評価ツールはあっても、運用段階で動的なシステム構成の変更を繰り返すクラウド基盤向けの評価ツールは知られていなかった。著者らは、設計段階から運用段階に至るセキュリティ評価を方式化し、システムの構成変更に追随でき、セキュリティ評価を自動化するツール「システムデザインチェッカ」を開発した。同ツールは、システム構成のモデル作成機能、構成変更の検知機能、セキュリティ評価の自動化機能を具備する。本論文は、従来技術にない新規な方式を考案して、開発・実装を行い、仮想マシンを用いた動的なモデル環境を構築して実験を試み、クラウド基盤の運用における課題解決に有用であることを実証し、評価結果に基づく高い信頼性を備えていることから、辻井重男セキュリティ論文賞特別賞に相応しい。
●藤田真浩さん(静岡大学)
池谷勇樹さん(静岡大学)
可児潤也さん(静岡大学)
『非現実画像CAPTCHA:常識からの逸脱を利用した3DCG 画像CAPTCHA』
講評:機械による自動入力を防ぐための手段として、文字や動物などの画像を判別させるCAPTCHA が多くのWeb サービスで使われている。他方、高精度のOCR や機械学習の応用によって、従来の典型的なCAPTCHA では自動入力を防ぐことが困難になりつつあり、これに対抗する新たな方式が待たれていた。本論文における新たなCAPTCHA に求める要件は、人間に対しては解答が容易でありながら機械に対しては解答が困難なだけではなく、機械による問題の自動生成を可能とするものである。この要件を満たすものとして著者らが提案した『非現実画像CAPTCHA』は、3 次元モデルデータベースから任意に選んだ2 体の3 次元オブジェクトの一方に他方をめり込ませた画像を用いる方式である。本論文は、機械に解けない問題を機械に作らせるという一見矛盾した課題設定を行い、非現実画像を用いた新たな方式を提案し、人間による解答実験と機械学習による識別実験からその有用性を実証し、総当たり攻撃と自動生成に対する検討も加えて論拠を示した高い信頼性を備えていることから、辻井重男セキュリティ論文賞特別賞に相応しい。
3.辻井重男セキュリティ論文賞優秀賞3件(50音順)
●大月優輔さん(東日本電信電話株式会社)
市野将嗣さん(電気通信大学)
木村聡一さん(パナソニック株式会社)
畑田充弘さん(エヌ・ティ・ティ・コミュニケーションズ株式会社)
『Evaluating Payload Features for Malware Infection Detection』
講評:悪性ソフトウェア(マルウェア)の感染被害は質・量ともに増大が続いており、その対策技術には一層の進歩が求められている。本論文は、ホストに出入りする通信データからそのホストがマルウェアに感染しているかどうかを判定する検知技術の基礎とすべく、感染ホストに特有の通信データ内容の特徴を調べた調査報告である。本論文では、感染ホストと非感染ホストの通信の区別に有用な特徴を、既存研究で挙げられている全ての特徴について、機械学習を使って網羅的に調べ、それらの特徴を用いることで未知のマルウェアに対しても感染/非感染の区別を高い精度で達成した。ビッグデータと機械学習を組み合わせた技術を情報セキュリティに応用した研究としてこれらの点を高く評価し、当論文賞の優秀賞を授与することとする。また本論文では、ホストに感染しているマルウェアの種類を動作に応じて三種類に分類した上で、それぞれの種類特有の特徴、共通の特徴も明らかにしており、感染ホスト対策に利用しやすい感染検知結果の提供を実現している。なお最後に、本論文では研究者が共通使用できる研究用データセット「MWS Datasets 2012」を用いて調査・検証が行われており、本論文の成果の検証や発展研究を第三者が容易に行えることを申し添える。
●大畑幸矢さん(東京大学)
松田隆宏さん(産業技術総合研究所)
『Provably Secure Password Reset Protocol: Model, Definition, and Generic Construction』
講評:ユーザ認証において、IDとパスワードによる認証方式は利便性が高く、現在でも広く使われている手法であるが、多数のパスワードを記憶する必要があるため、パスワードを忘却する可能性がある。パスワードを忘却してしまった場合にはパスワードをリセットして再発行する必要があるが、これまで行われてきたパスワードリセット手法においては、ユーザを正しく検証しない、一部の情報のみでリセットできるなどといった脆弱性が指摘されてきた。本論文では、既存のパスワードリセット手法に近い機能を持つパスワードリセット手法のモデルと一般的な構成を示し、手法の安全性証明を行っている。方式のモデルを設定して安全性証明を行ったところに新規性があり、非常に興味深い。また、プロトタイプ実装を行い、提案手法の有効性の高さも示している。本論文は、パスワードリセット手法のモデルの定義から、安全性の証明、および実装による有効性の証明まで実施しており、今後のパスワードリセット手法の研究に大きく寄与する成果を示している。よって、本論文は辻井重男セキュリティ論文賞優秀賞にふさわしい。
●高安敦さん(東京大学)
『How to Generalize RSA Cryptanalyses』
講評:RSA暗号においては、秘密鍵の一部がわかると、通常より少ない計算量でRSAモジュラスNを素因数分解することができ、その結果秘密鍵が完全にわかってしまうということが知られている。受賞論文は、(RSAモジュラスとしてN = p^r qを用いる)Takagi RSAやprime power RSAと呼ばれるRSA暗号のバリエーションに対して、上記攻撃手法を研究し、従来様々なケースで個別に試みられてきた攻撃を格子理論を用いて一般化し、統一的に理解できることを示した。さらにその一般化された攻撃手法を用いれば、様々なケースにおける従来攻撃をより強力なものにできることを示している。受賞論文は、RSA暗号の数学的な攻撃手法に関して、理論的に重要な一歩を刻んだといえる。
辻井重男セキュリティ論文賞大賞の受賞者には、賞状に加えて賞金10万円が、辻井重男セキュリティ論文賞特別賞の受賞者には、賞状に加えて賞金2万円が授与されました。