サイバーセキュリティ研究倫理に関するチェックリスト

はじめに

サイバーセキュリティ研究においては,実験参加者や他人に危害が及ぶことを完全に防止することが困難な実験(例:インターネット接続した実行環境による実マルウェア解析実験など)が必要な場合や,実在するシステムや製品の脆弱性が発見される場合があり,研究方法や研究により得られた情報の開示方法について,特に研究者の倫理観が求められています. こうしたサイバーセキュリティ分野の研究倫理の重要性の高まりを受け,コンピュータセキュリティシンポジウム(CSS)ではサイバーセキュリティ研究に関する典型的な倫理的配慮を著者らに啓発することを主たる目的として,チェックリストの策定と活用 に取り組んできました.

CSEC研究会においても,サイバーセキュリティ研究倫理における典型的な落とし穴を避けることを目的に,一般の研究発表会での同チェックリストの活用を進めていきます. 研究発表に際して研究倫理の観点で懸念がある場合は,下記チェックリストを活用してセルフチェックしてみてください.

なお,あくまでもセルフチェックですので,論文の投稿審査や著者らの免責を伴うものではありません.セルフチェックの結果に関わらず、倫理的な責任は最終的に著者らが負うものであることをご注意ください。

投稿論文について、以下について該当するものを選択してください。

(1) 基本的確認

(1-1) 情報処理学会の倫理綱領を確認している。 [Yes, No]

(2) 実験のために収集した機微な情報に関して

(2-1) 個人を特定可能な情報(PII, Personally Identifiable Information)を含む機微な情報の取り扱いに配慮したこと、およびその配慮をどのように実施したかについて、文中に明記している。 [Yes, No, 該当なし]

解説:実験が及ぼす影響として、(観測実験に含まれるPIIや場合によってはIPアドレス、URLなども含め)実験参加者のプライバシーや実験で利用するサービスへの負荷なども必要に応じて考慮されるべきです。

参考事例: Mark Allman and Vern Paxon, "Issues and Etiquette Concerning Use of Shared Measurement Data", In Proceedings of the 2017 Internet Measurement Conference (IMC) 2007. (観測データの取り扱いに関する倫理的な配慮について議論)

(3) 実験の実施や論文の公開による”ネガティブな影響”について

(3-1) 事前に(製品名・サービス名や、攻撃対象・攻撃手法などの公開に伴う)”ネガティブな影響”の検討を行った。 [Yes, No, 該当なし]

(3-2) 検討結果を踏まえて、関係者への通知(直接通知 or 届出制度を利用)を事前に行った。 [Yes, No, 該当なし]

(3-3) 文中に製品・サービスの具体名を表記している、もしくは、容易に推測できる記述がある場合、そのように記述することの妥当性を検討した。 [Yes, No, 該当なし]

(3-4) 上述の“ネガティブな影響”を最小化するための対策について、また論文で取り上げた対象以外に他の製品・サービス等への影響についても検討した。 [Yes, No, 該当なし]

(3-5) (3-1)~(3-4)の検討内容に関して、必要の程度で文中に明記した。 [Yes, No, 該当なし]

解説: ここで言う”ネガティブな影響”とは、新たな脆弱性や攻撃手法の発表、あるいは既存の脆弱性・対策の検証など、実験の実施や論文の公開による製品・サービスの関係者(サービス利用者・サービス提供事業者/製品ベンダなど)が被るであろうことであり、例えば関係するサービスやサービス提供事業者への負荷の増加、あるいは攻撃を誘発したり、提供者の名誉又は信用を毀損させたりするなどが挙げられます。

製品・サービスは商用・非商用に限りません。具体名を記載する場合、基本的には事前に提供元から了承を得て、協調的に対応を進めることが求められるとともに、具体名を記載しなければならないことの妥当性を文中に明記することが期待されます。

製品やサービス等の脆弱性を公表することは、場合によっては結果として事業者やベンダのみならず利用者にも危害を及ぼす可能性があります。 脆弱性の公表に関して、事業者・ベンダに確認する行為が著者らにも不利益となり得る場合は、例えば脆弱性情報届出制度等を活用するなどが考えられます。 こうした既存の枠組みでは不適切・不十分な場合や、やむを得ない事情で事前の確認が困難な場合などは、先行事例などを参考にしつつ独自の取組みを試みることが必要になるかも知れません。また、その合理性を示すとともに、確認を取らないことによって生じ得る提供元などの危害を最小化するための工夫を示すことが期待されます。

論文で取り上げた対象以外に他の製品・サービス等にも影響する可能性がある場合、特定の利害関係者のみに不利益が集中しないよう、その影響についても公正に論文中で論じることが期待されます。

参考事例: IPA, 情報セキュリティ早期警戒パートナーシップガイドライン

Checklist for ethical considerations in cybersecurity research

Introduction

Cybersecurity researchers must take special care to consider ethics in their research methodologies and responsible disclosures. This is because cybersecurity research often involves human subjects and organizations, in which the risks of the experiment cannot be eliminated (e.g., an experiment analyzing malware in an internet-connected execution environment). In addition, researchers may discover vulnerabilities in existing systems or products, which could have ethical implications. To address these concerns, the computer security symposium (CSS) has developed a checklist to inform cybersecurity researchers of typical ethical considerations.

The computer security group (CSEC) in the Information Processing Society of Japan (IPSJ) also promotes the use of this checklist to help researchers avoid common pitfalls in research ethics related to cybersecurity. If researchers have concerns about research ethics when conducting and publishing their studies, they can use the checklist below to self-check their work.

It is important to note that this checklist is for a self-assessment purpose only, and does not provide any approvals for the study or exemption from ethical responsibilities as researchers. Ultimately, the researchers are responsible for the ethics of their research, regardless of the results of the self-check.

Please answer the following questions about your paper.

(1) Fundamental confirmation:

(1-1) Have you read the code of ethics of the IPSJ? [Yes, No]

(2) Handling of sensitive information:

(2-1) Did you take appropriate measures to handle sensitive information, including personally identifiable information (PII), and describe how the experiment was conducted with ethical considerations in your paper? [Yes, No, N/A]

Commentary: It is important to consider the potential impact of the experiment on the participants' privacy, including PII, IP addresses, and URLs. In addition, the load on the services used in the experiment should be taken into account.

Reference: Mark Allman and Vern Paxon, "Issues and Etiquette Concerning Use of Shared Measurement Data", in Proceedings of the 2017 Internet Measurement Conference (IMC) 2007. (This paper discusses ethical considerations for handling measurement data.)

(3) Potential negative impact:

(3-1) Did you consider the potential negative impact of disclosing vulnerable product or service names and attack techniques in your experiment or publication? [Yes, No, N/A]

(3-2) Based on the result of your consideration, did you notify the stakeholders directly or using vulnerability coordination? [Yes, No, N/A]

(3-3) If a specific name (or easily guessable name) of a product or service is mentioned in your paper, did you consider a reasonable description? [Yes, No, N/A]

(3-4) Did you consider the potential negative impacts on other products and services beyond those that are discussed in your paper? [Yes, No, N/A]

(3-5) Did you adequately describe your consideration of these potential negative impacts (listed in 3-1-3-4) in your paper? [Yes, No, N/A]

Commentary: The term “negative impact” in this context refers to the potential harm to the stakeholders involved in the product or service that could result from the publication of papers on new vulnerabilities or attack methods or the examination of existing vulnerabilities and countermeasures (e.g., increasing loads and damages to the related services, triggering an attack or damaging the reputation or credibility of stakeholders).

Ethical considerations are not limited to commercial or noncommercial products and services. If you describe specific names in your paper, you are basically expected to confirm with the concerned stakeholders in advance and respond in a coordinated manner. In addition, you should provide a reasonable explanation for listing the specific name in the paper.

In some cases, disclosing vulnerabilities in products or services can cause harm not only to the vendor but also to the users. If it is not favorable to notify the stakeholders, you can use vulnerability coordinators. However, if existing schemes and practices are inadequate or advance notification is difficult to confirm due to unavoidable circumstances, you should take original measures while referring to the previous cases. In addition, you should provide a reasonable explanation of the steps taken to minimize any potential harm to the stakeholders that may result from not obtaining confirmation.

Furthermore, if there are potential impacts on products and services other than those discussed in your paper, you should reasonably address those in your paper. This will ensure that the negative impacts are not concentrated on the specific stakeholders.

Reference: Information-technology Promotion Agency, Japan (IPA), Information Security Early Warning Partnership