経済産業省主催の「平成21年度 新世代情報セキュリティ研究開発シンポジウム」に行ってきた。
経済産業省が2005年(平成17)から取り組んでいる「新世代情報セキュリティ研究開発事業」の本年度研究成果の紹介だった。経産省情報セキュリティ政策室課長補佐のあいさつで「この研究も事業仕分けの対象になっている。5月からの事業仕分けに対応したいのでよろしくお願いします」には笑ってしまった。まぁ、このご時世研究の成果が実らないと色々と大変なのかもしれない。
モデル検査による組込みソフトウェア検証とモデリング・パターン化の研究開発
研究の目的は「ソフトウェア開発における形式手法の導入を促進するために、導入の障害に対する解決アプローチや実用化のノウハウを示した『フォーマルメソッド導入ガイダンス』を作成する。ガイダンスを作成するために実ソフトウェアに対するケーススタディを実施する。開発プロセスへの形式手法の導入方法」だそうだ。
「フォーマルメソッド導入ガイダンス」は、「組織管理者」「プロジェクト管理者」「検証手法の適用方法」「ソフトウェア開発プロセスへの導入方法」「導入研修の進め方」「ケーススタディ」という構成からなっており、2008年度から作成しており来年度を目途に完成予定らしい。
ソフトウェア開発におけるテスト法はプログラムの不良を摘出(実装の検証)することを目的とすることが多いが、形式検証では、「要求仕様の検証」や「設計仕様の検証」もあり、「要求仕様の不備」「設計仕様の欠陥」も含まれている。
ケーススタディの事例として「ブルーレイディスク制御」「入退室管理システム」の開発について検証が行われ、デッドロックやバッファ漏れ等の不具合が発見されたとのこと。テスト工程では発見しづらい問題だそうだ。
今後の取り組みとしては「フォーマルメソッド導入ガイダンス」の完成とその普及、導入支援とのこと。
【質疑応答】
本研究は「セキュリティ」とどのような関わりがあるのか?→入退室の漏れを検知できる(セキュリティに関わる)のではないか。Safety/ライブネスにより、機密性・安全性・信頼性も対象にしている。
【感想】
「フォーマルメソッド導入ガイダンス」を見れば分かるのだろうか。テスト工数・手戻り作業や事故損害リスクが何故低減できるのかが理解できなかった。テスト工数が減るのであれば、減らしてでも品質が保証されるというのを示す必要があると考える。
既存OSに挿入可能な仮想マシンモニタによる異常挙動解析とデバイス制御の研究開発
OSやソフトを最新版にアップデートしておくだけでは攻撃を防げない、OSでは攻撃を検出・防御できないような問題に対し。Windowsのゼロデイ攻撃を「振る舞いから異常を検出し、「仮想マシンモニタでデバイス制御」することにより情報漏洩、改竄を防止する研究だそうだ。
(1) Windows上での異常挙動検出:異常動作の検出のためのシステムコールフックモジュールの作成および各種モニタの試験的実装。「ブラックリストベース」と「ホワイトベースリスト」により異常動作を検出する。
(2) 仮想マシンモニタインサーション:仮想マシンモニタ挿入方法の開発およびドライバの不具合検証。USBから仮想マシンモニタを起動し、プレインストールOS(Windows)を仮想マイン上で起動。
(3) 仮想マシンモニタによるインシデント情報通知とデバイス制御・動的防御:Windowsと仮想マシンモニタ間でインシデント情報を交換する技術の開発
【質疑応答】
・ブラックリストとホワイトベースではどちらがオーバーヘッドはあるのか?→管理OSで処理しているため、マルチコアなのであまり負荷はかからない。条件によるので一概には比較できないが、計算量としいては、ブラックリストベースの方が多くなる。
・起動中にUSBを抜くと、動作しなくなるか?→はい。
【感想】
PassThroughの問題点の話、ビデオカードとかNICとか内容が細かすぎてそこまで話さなくてもと思ってしまった。たぶん、今回の研究開発でいろいろ苦労し、技術者としてどうしても話しておきたかったのだろうなと思った。
他製品でもVMを利用した方式があり、競合になりそうな気がした。ただ、まだ実用的ではないようなので、これからの研究に期待したい。開発成果は公表するらしい、ソース提供も検討しているとのこと。
組込システムに対するセキュリティ評価技術の研究開発
ICカードのサイドチャネル攻撃(正規入出力以外のチャネル[サイドチャネル]の漏洩情報から秘密情報を抽出する攻撃)を研究し、新しいセキュリティ評価技術の確立を行う研究開発。
ICカードから漏れる電圧の変化や電磁波、秘密鍵や内部の情報を解析することができる。また、チップの発光を「エミッション顕微鏡」を使用して解析する方法の研究を行った。チップ内のスイッチが発生した時に光が出る。どのタイミングでどのように光ったかを測定することにより解析できる。
成果としては、「新しいセキュリティ評価技術の研究開発」「国内評価技術の集約と標準評価技術の確立」「つくば集中研究施設の構築」だそうだ。
【質疑応答】
・これらの対策が必要だということを会社の上層部に説明・説得するのは難しいような気がする。→スマートカード・銀行のカードを解析して、攻撃される場合があるので、会社の上層部にはこれで説明できる。
・どれくらいのコストを掛ければ、これくらいのサイドチャネル攻撃ができるのか?→20万円程度のオシロスコープでもできる。ただ、逆にオシロスコープで解析できなかったからセキュリティが十分とは言えない。TriHEMOS(光で解析する顕微鏡)で解析できないような対策が施されていれば、セキュリティとしては十分可能である。
・TriHEMOSでは、チップを加工しないとできないのか?→多少の加工が必要でそれほど大変ではない。詳しくは問題があるので説明はできない。
・ISO/IEC 15408に準拠したICカードのセキュリティは欧州域内に閉じた制度のため国内セキュリティ評価制度の確立が必要とのことだが、どのような評価制度を確立する必要があるか?→技術者なので回答は難しいが、高精度で低コストの評価制度が必要ではないかと思う。
【感想】
ソフトウェアの脆弱性だけでなく、ICチップのようなハードウェアにもセキュリティ上の脆弱性があり、それを解析して情報を盗むやり方も問題になっていることを初めて知った。その攻撃に対しても色々対策を練っているらしく、ソフトウェアだったらパッチで対策できるけど、ハードウェアに問題が発覚したら対策が大変そうだとふと思った。
証明可能な安全性をもつキャンセラブル・バイオメトリクス認証技術の構築とそれを利用した個人認証インフラストラクチャ実現に向けた研究開発
「テンプレート保護:不正な管理者に生体情報を盗み取られる危険性がある」、「更新可能性:新しい生体情報の登録を何度も自由に行うことができない」の二つの問題点の解決を目的とするバイオメトリクス認証技術をキャンセラブル・バイオメトリクスと呼ぶ。
目的は「キャンセラブル・バイオメトリクス認証技術における安全性評価基準の論理的な枠組みの構築」「認証方式の提案と安全性証明」「各種モダリティに対する安全性検証とアルゴリズムの提案」「プロトタイプ実装」である。
安全性の要件は、「なりすまし困難性」「更新後のなりすまし困難性」「復元困難性」である。
既存研究と比較して、光彩では250ビット程度の強度に対し、10〜20ビットでも安全なものを作りたい。
プロトタイプは、OpenIDを利用したWebサービスの構築を行った。APIにはBioAPIを使用している。OpenID以外にも多数の認証アプリケーションに応用が可能である。
研究成果として、「ソースコードの公開(近日中)」「企業と共同研究」「国際標準規格(ISO/IEC 19792、23745など)への貢献」「国民認証インフラの構築(長期的目標)」を展開する。
【質疑応答】
・キャンセルしたい場合、ユーザはなにをすればいいか?→きちとするのであれば、指紋再登録しICカードの再発行となる。同じ指でも再登録することでも安全と考える。(次発表者より)また、鍵を変えることで指紋を再登録しなくても、安全な研究がされている
【感想】
何となくは理解できるが、学生の頃にみた数式を並べられて「安全性」を説明されてもよくわからなかった。
生体認証サービスにおける情報漏えい対策(キャンセラブルバイオメトリクス)の研究開発
生体認証利用は誰が決定するのかを考えたところ「アプリケーションサービス事業者」という結論に達した。これを前提に研究開発を行い、その方向性は「生体情報管理に伴うリスクをコントロールしつつ、生体認証利用を行うために、信頼できる第三者に認証機能を委託する生体認証サービスアーキテクチャと、必要なセキュリティ要件」とした。
研究開発の成果として「生体認証サービスのセキュリティ対策ガイドラインの策定 (a)生体認証サービスシステムモデルの定義 (b) 生体認証サービスにおけるセキュリティ対策の検討」となった
【質疑応答】
・ガイドラインは公開されているのか?→公開される予定。
・コストはどれくらいかかるのか?→ミッションクリティカルが高まればセキュリティも高くしなければならず、その分コストもかかる。一般には低コストを望んでいる市場は多いはずなので、そこをターゲットにしている。
・ガイドライン作成メンバにアプリケーションサービス業者が入ってないのはどうなのか?→日立社内でいろいろな立場の人でレビューを行ったので問題ない。今後は、アプリケーションサービスをされるであろう業者も含めたい。
・第三者機関(生体認証サービス事業者)がガイドライン通りに実施しているかの確認ができるのか?また、それを信じることはできるのか?→やり方として「評価期間」とか「チェックの妥当性」も考える必要があるが、研究段階ではこのレベルとなった。
【感想】
ガイドライン策定は確かに必要だが、それが普及したりそのガイドライン通りに実施していれば大丈夫だといわれるまでには時間がかかりそうだ。質疑応答でもあったように、ガイドライン通りに実施しているかどうかをチェックする機能が実際には必要になってくるだろう。
<全体感想>
最新の研究成果とあってちょっと難しく、難しい数式が出てくるとちょっとついていけなかった。いつものセミナー・フォーラムでは営業担当者が立て板に水のごとくしゃべるのだが、今日か技術者・研究者が直接その成果を発表しており、発表慣れしていないところがある意味新鮮だった。
数年前、某独立行政法人の公募案件でセキュリティ関連のアプリケーションを開発し納入後、有識者の前で開発内容を発表したことがある。奈良先端科学技術大学院大学の教授に色々とつっこまれた質問をされて困ったのを思い出してしまった。
秋葉原に来たのは6年ぶりぐらいで、駅前のUDXやつくばエクスプレス、ヨドバシカメラそしてメイドブームの前だ。秋葉原駅の構内もすっかりきれいになっており、秋葉原の街自体の雰囲気も少し変ったように感じた。
