サイバーセキュリティ研究における倫理的な研究プロセスについて

ICTの進展にともない、誰も踏み入れたことがない、前例が十分にない倫理的領域を取り扱う機会が出てきました。これに伴い、ステークホルダ(利害関係者)の明確化、インパクトの見積もり、リスクの最小化努力、Responsible disclosure(研究成果の社会的な影響を考慮して、事前に必要な手続きを踏んだ後、研究成果を開示すること)を実施し、自身の研究を研究倫理的観点から実践して論じることの必要性が高まってきています。

サイバーセキュリティ研究における研究倫理とは、自身の研究を研究倫理的観点から実践して論じることであり、そのために必要となる適切な手続きを倫理的な研究プロセスと呼んでいます。MWS組織委員会では、『日本学術振興会(JSPS) サイバーセキュリティ 第192委員会 サイバーセキュリティの研究倫理を考えるWG』の支援(2018年～2020年)ならびに、関係各位の協力を得て、サイバーセキュリティ研究における倫理的な研究プロセスの普及啓発を進めています。

• 日本学術振興会(JSPS)
  サイバーセキュリティ 第192委員会
  サイバーセキュリティの研究倫理を考えるWG: サイバーセキュリティ研究における倫理的な研究プロセスの普及啓発について (2018年12月20日)

【イベント】

サイバーセキュリティ研究における倫理的な研究プロセスに関するイベントです。

• 2021年10月27日
  CSS2021 研究倫理相談TF/MWS/OWS/UWS連携企画「Hypocrite Commits論文から考える サイバーセキュリティ研究倫理」
  
  • はじめに
    島岡政基 (セコム(株))
  • 講演「Hypocrite Commits論文概説」
    渡邉卓弥 (NTT社会情報研究所)
  • パネルディスカッション
    • モデレータ
      島岡政基 (セコム(株))
    • パネリスト
      柴田次一(Linux Foundation)、金岡晃(東邦大学)、秋山満昭(NTT社会情報研究所)、篠田陽一(北陸先端科学技術大学院大学)
  
  
• 2020年10月28日
  CSS企画セッション(1) in CSS2020「トップ会議NDSS2020受賞論文講演＆事例から考えるサイバーセキュリティ研究倫理」
  
  • 講演「Melting Pot of Origins: Compromising the Intermediary Web Services that Rehost Websites」
    渡邉卓弥 (NTTセキュアプラットフォーム研究所)
  • 講演「Melting Potのアウトリーチ活動」
    塩治榮太朗/秋山満昭 (NTTセキュアプラットフォーム研究所)
  • CSS2020研究倫理相談タスクフォースの活動紹介
    島岡政基 (セコム(株))
  
  
• 2020年10月28日
  MWS企画セッション(1) in CSS2020
  
  • MWSトラックチェアからの講評
    市野将嗣 (電気通信大学)
  • 研究倫理・ヒヤリハット事例共有会
    • 身近なヒヤリハット事例紹介(1)：マルウェアとの付き合い方
      東結香 (トレンドマイクロ(株))
    • 身近なヒヤリハット事例紹介(2)：マルウェア取扱いヒヤリハットQUIZ
      荒木粧子 ((株)ソリトンシステムズ)
    • 研究倫理取り組み事例紹介(USENIX Security等の最新研究事例より)
      秋山満昭(NTTセキュアプラットフォーム研究所)/畑田充弘(NTT/MWS組織委員会)
  
  
• 2019年12月04日
  第87回コンピュータセキュリティ研究発表会
  
  • 「CSS2019におけるサイバーセキュリティ研究倫理の取り組み」の振り返り
    秋山満昭/島岡政基 (CSS2019研究倫理委員会)
  
  
• 2019年12月09日
  MWS2019 ポストミーティング
  
  • MWS Cup 2019 解説・振り返り
  • MWS2019 施策の総括
  • 研究倫理の振り返り
  • 講演「脆弱性届け出の書き方」
    堀江亘／渡辺貴仁 (IPA)
    MWS2019の企画セッションの延長、かつ、サイバーセキュリティ研究における倫理プロセス普及の一環として、情報セキュリティ早期警戒パートナーシップで脆弱性を届け出るにあたり、その書き方を紹介してもらいました。
  
  
• 2019年10月21日
  MWS/CWS/OWS合同企画セッション in CSS2019 「国内における脆弱性報告の調整活動～学術系が取り組むべき課題とは(その1)～」
  
  • 「サイバーセキュリティの研究倫理を考えるWG」の取組み
    篠田陽一/秋山満昭 (JSPS 第192委員会WG)
  • CSS2019におけるサイバーセキュリティ研究倫理の取り組み
    秋山満昭/島岡政基 (CSS2019研究倫理委員会)
  • 脆弱性届出制度～情報セキュリティ早期警戒パートーナーシップの取組み～
    渡辺貴仁 (IPA)
  • 脆弱性届出制度における調整活動
    高橋紀子 (JPCERT/CC)
  • パネルディスカッション
    • モデレータ
      篠田陽一 (MWS組織委員会)
    • パネリスト
      渡辺貴仁、高橋紀子、井田光(東京電機大学)、小池悠生(筑波大学)、
      小池倫太郎(NTTセキュリティ・ジャパン)、中島将太(サイバーディフェンス研究所)
  
  
  
• 2019年01月24日
  MWS/CWS合同企画セッション in SCIS2019 「製品セキュリティと研究活動　～脆弱性発見者と対応者、それぞれの視点からの取組みを知ろう～」
  
  • 「サイバーセキュリティの研究倫理を考えるWG」の取組み
    篠田陽一/秋山満昭 (JSPS 第192委員会WG)
  • 脆弱性届出制度～情報セキュリティ早期警戒パートーナーシップの取組み～
    渡辺貴仁 (IPA)
  • PSIRTの取組み
    中野学 (パナソニック(株))
  • 脆弱性ハンドリング
    寺田真敏 (日本シーサート協議会)
  • 脆弱性届出制度における受付窓口対応
    渡辺貴仁 (IPA)
  • 脆弱性届出制度における調整活動
    高橋紀子 (JPCERT/CC)
  • 「人工指に関する研究」を振り返って
    松本勉(横浜国立大学
  • プライバシー脅威「Silhouette」への対応を振り返って
    秋山満昭 (NTTセキュアプラットフォーム研究所)
  • パネルディスカッション
    • モデレータ
      篠田陽一 (MWS組織委員会)
    • パネリスト
      松本勉、秋山満昭、渡辺貴仁、高橋紀子、中野学、寺田真敏、木藤圭亮(三菱電機/ICSS)
  
  
  
• 2018年12月20日
  MWS2018 意見交換会 (ポストミーティング)
  
  • 研究倫理の振り返り (サイバーセキュリティ研究における倫理的な研究プロセスについて)
    • CSS2018 研究倫理委員会 活動報告
      秋山満昭 (NTTセキュアプラットフォーム研究所)
    • CSS2018 企画セッション 報告
      寺田真敏 ((株)日立製作所)
  
  
• 2018年10月24日
  CSS2018企画セッション：サイバーセキュリティ研究のグレーゾーン
  
  • サイバーセキュリティ研究のグレーゾーン
    北條孝佳 (西村あさひ法律事務所)
  • 研究のグレーゾーン？ 私の経験から
    高木浩光 (産業技術総合研究所)
  • 医療・医学研究分野の倫理審査 セキュリティ研究への示唆
    吉峯耕平 (田辺総合法律事務所)
  • サイバーセキュリティ研究のグレーゾーン
    吉岡克成 (横浜国立大学)
  • パネルディスカッション
    • パネルディスカッションの進め方について
    • モデレータ
      寺田真敏 ((株)日立製作所)
    • パネリスト
      北條孝佳、高木浩光、吉峯耕平、吉岡克成
  • 企画セッション開催報告
  
  
• 2018年01月25日
  SCIS2018 MWS企画セッション
  
  • セキュリティに関する研究活動を進める上での倫理的課題
    齋藤孝道 (明治大学)
  • 先進的研究における研究倫理～我々の現状とこれから～
    秋山満昭 (NTTセキュアプラットフォーム研究所)、吉岡克成(横浜国立大学)
  • カンファレンス主催側からみた研究倫理
    鵜飼裕司 (FFRI)
  • 暗号分野から学ぶ攻撃という名の安全性評価
    伊豆哲也 (富士通研究所)
  • パネルディスカッション
    • モデレータ
      篠田陽一 (北陸先端科学技術大学院大学)
    • パネリスト
      高橋克己 (JSPSサイバーセキュリティ第192委員会)、齋藤孝道、秋山満昭、吉岡克成、鵜飼裕司、伊豆哲也
  
  
• 2017年11月08日
  サイバーセキュリティ 第192委員会 2017年度 公開シンポジウム ～サイバーセキュリティ研究における研究倫理を考える～
  
  • 最新事例と共に考えるサイバーセキュリティ研究倫理
    吉岡克成 (横浜国立大学)
  • サイバーセキュリティ研究倫理の課題
    秋山満昭 (NTTセキュアプラットフォーム研究所)
  • パネルディスカッション
    • モデレータ
      寺田真敏 (情報処理学会SPT研究会)
    • パネリスト
      秋山満昭、吉岡克成、小山覚 (NTTコミュニケーションズ(株))
  
  
• 2017年10月23日
  MWS2017企画セッション
  
  • 研究倫理/Responsible Disclosure
    秋山満昭 (NTTセキュアプラットフォーム研究所)
  
  
• 2017年06月06日
  MWS2017 意見交換会 (プレミーティング)
  
  • Research Ethics: SCIS2017における「MWS; 研究活動とResponsible disclosure」セッションの振り返り
    秋山満昭 (NTTセキュアプラットフォーム研究所)、笠間貴弘 ((国研)情報通信研究機構)、篠田陽一 (北陸先端科学技術大学院大学)
  • ディスカッション
  
  
• 2017年01月27日
  SCIS2017企画セッション：MWS; 研究活動とResponsible disclosure
  
  • 探究心と研究活動
    篠田陽一 (北陸先端科学技術大学院大学)
  • 研究倫理に関して我々の置かれている状況
    秋山満昭 (NTTセキュアプラットフォーム研究所)
  • Responsible disclosureの具体的な事例紹介
    吉岡克成 (横浜国立大学)
  • パネルディスカッション
    • 研究と倫理、守りと攻めのリバランス
      小山覚 (NTTコミュニケーションズ(株))
    • モデレータ
      小山覚
    • パネリスト
      篠田陽一、秋山満昭、吉岡克成
  
  
• 2016年12月07日
  MWS2016 意見交換会 (ポストミーティング)
  
  • BoF (Birds of a Feather): 「研究倫理について」
  
  

参考情報

サイバーセキュリティ研究における倫理的な研究プロセスに関する参考情報です。

• 倫理
  
  • 日本学術振興会(JSPS)
    サイバーセキュリティ 第192委員会
    サイバーセキュリティの研究倫理を考えるWG: サイバーセキュリティ研究における倫理的な研究プロセスの普及啓発について (2018年12月20日)
  • 日本学術会議: 科学者の行動規範
  • UNESCO: [ブタペスト宣言] 科学と科学的知識の利用に関する世界宣言 (1999年7月1日)
  • UNESCO: [Budapest Declaration] Declaration On Science And The Use Of Scientific Knowledge (July 1, 1999)
  • The Belmont Report (April 18, 1979)
    生物医学/行動科学分野の研究倫理に関するガイドライン
  • DHS: The Menlo Report (August 2012)
    コンピュータ/情報のセキュリティにおける研究倫理のガイドライン/フレームワーク
  
  
• 脆弱性ハンドリング
  
  • ISO/IEC 29147:2014 Information technology - Security techniques - Vulnerability disclosure
  • ISO/IEC 29147:2018 Information technology - Security techniques - Vulnerability disclosure
    脆弱性情報の開示：ベンダ(製品開発ベンダ、オンラインサービス提供者など)が脆弱性情報を受信する際の心得、ベンダが脆弱性情報に関する情報を開示する際の心得など、運用上、考慮すべき点が記述されている。
  • ISO/IEC 30111:2013 Information technology - Security techniques - Vulnerability handling processes
    脆弱性対応手順：ベンダ(製品開発ベンダ、オンラインサービス提供者など)が脆弱性情報を受信してから、対策を完了させるまでの手順を中心に、考慮すべき点が記述されている。
  • 情報セキュリティ早期警戒パートナーシップ
    ソフトウェア製品及びウェブアプリケーションに関する脆弱性関連情報の円滑な流通、および対策の普及を図るため、公的ルールに基づく官民の連携体制として2004年に整備された。
  • ソフトウエア等脆弱性関連情報取扱基準 (経済産業省告示 第235号) (2004/07/07)
    脆弱性関連情報が発見された場合にそれらをどのように取り扱うべきかを示した取扱基準で、2004年7月7日に制定された。
  • ソフトウエア製品等脆弱性関連情報取扱基準 (経済産業省告示第110号) (2014/05/14)
  • ソフトウエア製品等の脆弱性関連情報に関する取扱規程 (経済産業省告示第19号) (2017/02/08)
    2004年に経済産業省告示「ソフトウエア等脆弱性関連情報取扱基準」が制定され、2014年の改正を経て、2017年に新たに経済産業省告示「ソフトウエア製品等の脆弱性関連情報に関する取扱規程」となった。
  • FIRST.org: Guidelines and Practices for Multi-Party Vulnerability Coordination and Disclosure
  • ENISA: Economics of Vulnerability Disclosure