マルウェア対策研究人材育成ワークショップ 2017 (MWS2017)
[HOME]
JSPS 第192委員会 2017年度公開シンポジウム

日時

2017年11月08日(水) 12:00〜15:00

場所

参加報告

SCIS2017のMWS企画セッションMWS2017意見交換会(プレミーティング)MWS2017企画セッションと継続的に議論を重ねてきたサイバーセキュリティ研究における研究倫理について、日本学術振興会サイバーセキュリティ第192委員会2017年度公開シンポジウムにおいて、約80名が参加して活発な議論が行われました。

シンポジウム開催にあたり、第192委員会幹事の情報セキュリティ大学院大学後藤厚宏学長から本シンポジウムの開催概要と第192委員会の紹介がありました。

次に横浜国立大学吉岡克成准教授から「最新事例と共に考えるサイバーセキュリティ研究倫理」の講演が行われました。2012年に米国DHSが発行したメンローレポートは、生物医学や行動科学における3原則(人格の尊重、恩恵、正義)を定めたベルモントレポートの理念をベースに、1原則(法と公益の尊重)を追加したものである。具体的な解釈を助ける研究事例を説明した補足文書とともに、研究倫理を議論する上で参照すべき文書だという。生物医学とICT研究の違い(与える影響の規模が大きくスピードも早く成り得る等)や、利害関係者の明確化、責任ある開示についての概念が紹介され、メンローレポートの補足文書に記載されている仮想事例2件と、それぞれに対応する研究における判断ポイントも解説されました。加えて、横浜国立大学における事例として、最終的には採録されたRAID2016の”SandPrint”投稿時の裏話として、責任ある開示として不十分という指摘を受け、その後の対応経緯が紹介されました。責任ある開示を適切に行えば、セキュリティ強化という観点でも公益の尊重につながる実感を得たということだった。一方で、利害関係者における対応は相当な時間を要するため、投稿時には責任ある開示の方針を記載し、発表後に対応する等を行っていかないと研究の新規性が損なわれる懸念もあり、公益の最大化のためにケースバイケースで判断する必要がある。他の例として、DNS Dynamic Updateの脆弱性(Zone Poisoning脆弱性)の現状を調べるために、個々のDNSサーバ管理者の了承を得ずにレコードを追加した研究についても紹介されました。その際、組織のIRBでは問題無いとされたが、メンローレポートに基づいて自ら研究倫理を評価したということであった。組織のIRBの問題にするのではなく、著者自身が研究への理解や評価を十分に追求することが責任を果たすことなのではないかと提言した。

続いてNTTセキュアプラットフォーム研究所の秋山満昭特別研究員から「サイバーセキュリティ研究倫理の課題」と題して、「世の中にはどのようなサイバーセキュリティに関する研究倫理のコンセンサスがあるのか?」「どのように倫理的な研究を実践すればよいか?」という疑問がまず投げかけられましたた。脆弱性に関する責任ある情報公開(Responsible disclosure)にあたっては「早く脆弱性を修正してほしい」「修正をしてから公表してほしい」という、発見者とベンダ間での”Responsible”に関する対立構造が存在したり、対応方針に応じた”Disclosure”の種類について解説が加えられました。また、脆弱性をベンダに通知してから、詳細が公表されるまでの猶予期間(Grace period)は業界によって異なるのか、Google Project Zeroでは90日とされているが、デファクトスタンダードとなりえるのかも注目しているということである。トップカンファレンスの1つであるUSENIX Securityで過去5年間に発表された293件の論文を調査したところ、同意/承認の獲得、手順の正当性、リスク/被害のコントロール、利益の観点で大別される46件の際どい研究があったという。自ら実践すべく、CSS2017で発表した攻撃手法に関する研究事例も紹介した上で、国内の研究発表で研究倫理について議論しているものが非常に少ないことを懸念しているという。先進的かつ有効な研究を進めていくために、ケーススタディの積み上げと知見共有、世論を説得できるレベルで何をどこまでやりたいのかの研究者による主張、学術と産業がwin-winになる十分な情報と猶予期間、組織横断的に議論を進めていく場、学生が研究を始める際に知っておくべき研究倫理とその教育、といった5つの課題が提示されました。



最後に情報処理学会SPT研究会主査の寺田真敏氏をモデレータとして、パネルディスカッションが行われました。AntinnyによるACCSへのDDoS攻撃対応を契機に、大量通信への対処と通信の秘密ガイドライン制定の経緯をNTTコミュニケーションズの小山覚氏が紹介しました。寺田氏からは脆弱性公開日一致の原則について解説が行われ、情報セキュリティ早期警戒パートナーシップについても紹介されました。また、直近のKRACKの時系列対応を紹介し、発表までの経緯があまり知られていない点にも言及されました。吉岡准教授からは、世の中に与えるインパクトとベネフィットは本当にケースバイケースになるため、事例を蓄積して適切な見積りができるようにしていかないといけないと、あらためて課題感を強調しました。それに対し小山氏からは、研究者が経験した課題やヒヤリハットを抽象化して情報共有し、課題ごとに規範化する営みが必要だとの提案もありました。脆弱性そのものよりも、脆弱性を見つける手法にこそ研究としての価値がある点も忘れないでほしいと秋山氏は強調しました。会場からは、脆弱性発見とベンダ対応の経験も共有されたり、売名行為ともとれる脆弱性公開によって他の重要な脆弱性への対応をおろそかにする等になってはいけないという声も挙がり、サイバーセキュリティにおける研究倫理への関心の高さがうかがえました。

閉会にあたり、後藤幹事から、第192委員会に「サイバーセキュリティ研究倫理WG(仮称)(WG主査候補 篠田陽一 北陸先端技術大学院大学)」を設置する方向で準備を進めることが宣言され、WGの活動を通じて課題を抽出し必要な対策を提言していく方針が示されました。

資料

「最新事例と共に考えるサイバーセキュリティ研究倫理」横浜国立大学 吉岡克成 准教授 [PDF]
「サイバーセキュリティ研究倫理の課題」NTTセキュアプラットフォーム研究所 秋山満昭 特別研究員 [PDF]