CSEC41/SPT1

初日，お疲れ様でした！大変に興味深い研究会でした．懇親会から2次会まで，ご一緒させて頂いて大変に嬉しかったです．次は7月の福岡で（発表しないけどorz）．

・情報セキュリティ心理学とトラストの動向について
SPT研究グループ主査の内田先生によるSPTの動向について．資料はuchidakでググると最上位に出てくるサイトから，入手可能です．

要旨で，

情報セキュリティ対策も人的側面からの対応が必要になる．

と述べられており，ふむふむ正しく，と思った．記憶を頼りに探したのだが，見つけられないので引用できないが，技術がどれだけ進化しても，それを利用するのは人間であり，結局のところ，利用者に対するセキュリティリテラシの向上が必要である，という旨の記事があった．

最近，はてブのホッテントリに挙がっていたので，目にした方も多いかと思うが，USBメモリは何故禁止かというITProの記事があった．スライド10,12ページに書かれているように，情報セキュリティ教育として，何かを「禁止」するだけではなく，その理由を明確にし，理解させることが重要である．これは初等教育における「何故それがダメなのか」と同じである．電車の中で騒いではいけないのは何故か．何故人を傷つけてはいけないのか．ちゃんとした理由なしに「ダメだ」と言っても，子どもは理解しない．そういった初等教育と情報セキュリティ教育は同じではないかという示唆がされていた．これには強く共感したし，工学の人間としては「技術でなんとか」という考えがあるので，そういった点に無頓着だったかもしれない．いや，オレはリテラシは重要だと思ってましたよ？なお，信号機の話は知ってました☆

ソーシャルエンジニアリングは人間の脆弱性を付く攻撃だと理解していたが，より細やかな説明があって，大変参考になった（スライド7ページ）．人間って穴だらけだなぁ（セキュリティホール的な意味で），って思った．返報性と社会的証明と好意と希少性を兼ね備えているのが典型的な日本人だと思うのだが，いかがだろうか．日本人の文化って，セキュリティホールだらけですね．だから，壺や絵画が売れるのか．

会場のウケが大変に良かったのが，Winnyに関する話．

官房長官が声明を出して，どうにかなるんだったら，研究者なんていらないんです．

全くその通りです．

・画像認証に対して未利用者が受ける印象に関する調査
一度も対外発表していないけど，内部発表はしたことがあって，実は画像認証関連の主要な論文は手元にある上に，一通り目を通しているオレ．興味はあります．でも，普及しないのが現状です．それは，何故かを分析するという話（でいいんですよね）．ぶっちゃけ，個人的にはインタフェイスの問題（このセリフかこいい！）だと思っています．タッチパネルとか，液晶タブレットが普及したら，話は違ってくると思います．パスワード認証だと，入力が面倒になってくるはずだから．

画像認証同士を戦わせてどうするんだという指摘が飛んでいましたが，それはそれでもっともな意見だと思いますが，研究者が考える安全性云々ではなく，利用者にとって画像認証がどのような印象を持たれているかについて検討することは，非常に有意義なことだと思います．ただ，各画像認証方式にはそれぞれ，適用シーンや得手不得手があるわけで，それをどのような状況下かもわからないような状態で，横並びにして比べたことには問題があったかもしれません．ニーモニックガードが高評価って，ちょっと信じられない．

増井らがマイ認証で述べているように，パスワード認証がまだまだ一般的な現在においては，従来のパスワード認証にマッピングできるような形でなければ，効果が薄いとされている．現状ではパスワードリマインダやパスワード管理ソフトのマスタパスワードに画像認証を用いるのが，妥当な範囲かも知れなくて，そういうところから，徐々に浸透していけばいいんじゃないかなって，楽観視しています．きっと，時代が必要とする時期は来ます．

・内容の類似性を用いたトラックバックスパム判別
休み時間に話しかけようと思ったんだけど，空腹に耐えきれずにコンビニに行ってしまい，機会を失ったオレ，ヘタレすぎ．ブロガとして，いいたいことが山ほどあったのだが・・・．

まず，TBスパムというものはどのように定義され，どのように判断されるのか．質疑でも出ていたが，どこかのブログエントリを丸々ごっそりクローンしてTBを打ち込んでくると，類似度からでは判断できなくなる点が問題．例えば，まとめ記事的に，検索キーワードに引っかかったブログを並べて，TB打ち込みました，SEOよろしく，というサイトも結構ある．これをスパムと扱うのか扱わないのか．TBを打ち込んできたサイトはSEO目的であり，恐らくはスパムと扱うのが妥当なのだろうが，まとめサイトとしてみれば，別段にスパムともいえないのではないかと思う．

それから，言及したとはいえ，記事の類似度が上がるかといえば，それもどうか難しい．例えば，批判を意図して言及した場合，外堀を埋めつつ攻撃するので，記事の類似度は下がるのではないかと思う．まぁ，批判は迷惑だからスパムだと思えば，正しいか．

ところでね．私は思うのだよ．この手の排除技術って，技術としては素晴らしいかもしれないんだけど，実際は無力なんです．なんで無力かって？それは簡単です．スパムは遠慮なしだからです．スパムかどうかを判別している間にも，次々とスパムを打ち込んできて，サーバごとゴッソリと落としてくれます．すでに，経験済みです．元サーバ管理者ですから．そして，単純な方法の方が効果的．例えば，こんなのとか，こんなのとか．従来方式の問題点として，IPアドレス遮断はBOTネットに弱いと書いてあるけど，UAではじくといいよ．マジで．

負荷でサーバがぶっ倒れることも考慮に入れて，方式提案していただけたらなぁと思う，MT使いのサーバ管理者でした．

・デバイスドライバのセキュリティ強化
ハードウェアのセキュリティは詳しくないので，細かくは書けないんですが・・・．FDとLDでDDを挟み込んで，監視しちゃるぞというアプローチ．それはいいんですが，所々気になります．

表1に脆弱性と対応方法がまとめられており，入力値の取り扱いの脆弱性には，サニタイズが対応方法なんだそうです．サニタイズ脳って言われそうですよ．そもそも，デバイスの数だけ存在するデバイスドライバにとって，「想定外の入力をチェックする」と述べていたが，想定外ってなんなんだろう．想定外かどうかは，出力を見なくてはわからないんじゃないのだろうか．だから，DDの両側を挟み込んでいるのだと思うのだが・・・．4.2節においても，

ポリシーに従ってサニタイズを実行する．

と述べているが，そのポリシーは誰が，どのように書くのだろうか．デバイスの数だけ，書くのだろうか．SELinuxもそうだけど，ポリシって事前にしっかりと規定しないといけないから，面倒＞＜．