OSSセキュリティ技術ワークショップ(OWS)
2023

CSS2023 開催期間：10月30日(月)～11月2日(木) @ アクロス福岡＆オンライン（ハイブリッド開催）

企画講演セッション

OWS2023の企画講演セッションのプログラムとなります。

View details »

一般論文セッション

OSSセキュリティ技術トラック（略称：OWSトラック）として、OSSを対象としたセキュリティ技術の研究、OSSを活用したセキュアなシステムの事例報告などを取り扱う論文を広く募集します。

一般論文セッション »

OWS研究賞(2023)

IETF SUIT Encrypted Payloads と Multiple Trust Domains による暗号化されたファームウェア配信

髙山献 (セコム株式会社IS研究所), 磯部光平 (セコム株式会社IS研究所)

OWS2023について

概要

基幹系から組み込み系まであらゆるシステムに OSS(オープンソースソフトウェア)が浸透しています。また、この流れに合わせて、OSS に関連するセキュリティ技術の発展も目覚ましく進んでいます。今後の OSS を用いた研究や、これを対象とした学術的な研究を促進するには、最新の OSS セキュリティ技術やその動向を学術界と OSS コミュニティの間で円滑に共有することが重要です。また、企業や学術の研究成果を OSS において実用化するには、研究成果をコミュニティに受け入れられる実装まで迅速に発展させる必要があり、そのためには、OSS コミュニティからの助けやノウハウの提供が必要不可欠となります。OWS は、企業・OSS コミュニティ・学術界の交流を促し、これによって、OSS セキュリティに関する研究やその実用に向けた動きを活性化させることを目的としています。
主催

(社)情報処理学会コンピュータセキュリティ研究会 OWS組織委員会
後援

OSSセキュリティ技術の会

OWS2023実行委員会
- 実行委員長
- 副実行委員長
- 委員（五十音順）

プライバシーポリシー

OWS2023のプライバシーポリシーは、CSS2023のプライバシーポリシーに準じます。

参加登録

OWS2023への参加登録は、コンピュータセキュリティシンポジウム2023（CSS2023）への参加登録と共通となっております（ご登録頂くと、CSS2023および併催の他のワークショップのセッションにも参加が可能です）。

参加登録手続きの詳細につきましては、CSS2023の参加登録ページおよび参加費の説明ページをご参照ください。

企画講演セッション

OWS2023では学術分野の研究者の方々に研究の参考にしていただくために、企業ではどういう課題意識を設定して技術を開発しているのかを語ってもらう場として、「企業におけるOSSセキュリティ技術の紹介」と題した講演を行います。

一般論文セッション

表彰について

OWS実行委員会では、OWSトラックにおける優秀な論文発表を行い、 OSS公開などによりOSSコミュニティの発展に寄与した講演者ならびに著者らを表彰することを目的とした賞を設けております。
- OWS研究賞（１件）
  - 著者全員を表彰対象とする。
  - 論文集に掲載された論文を審査対象とする。
  - 実用性の高さとOSSコミュニティへの貢献を評価する。
- OWS2023実行委員会は以下の観点に基づいた厳正な審査を行い、表彰対象論文を選出します。
  - OSSを用いた研究もしくはOSSを対象とした研究で有効性があるか
  - OSSコミュニティへの貢献が見られるか(OSSへのパッチ投稿、研究成果のOSSでの公開など)

スケジュール

10/31(火) (CSS2023開催期間内)

一般論文セッション

	日時／場所	タイトル／講演者（敬称略）
OWS: OSSセキュリティ (○は一般発表者，◎は学生発表者を表します。)	10/31(火) 09:00-10:20 2D1: OSSと脆弱性	座長：瀧本栄二（奈良女子大学） 2D1-1 BERTを⽤いたソフトウェアサプライチェーン攻撃検出⼿法の提案 ○ 富永大智 (情報セキュリティ大学院大学), 大久保隆夫 (情報セキュリティ大学院大学) 2D1-2 脆弱なコードクローン検知技術を用いたオープンソースソフトウェアに内在する脆弱性の実態調査〇荒川玲佳 (日本電信電話株式会社), 鐘本楊 (日本電信電話株式会社), 秋山満昭 (日本電信電話株式会社) 2D1-3 Linuxカーネルにおける脆弱性修正状況の調査葛野弘樹 (神戸大学), 矢野智彦 (セコム株式会社IS研究所), 面和毅 (サイオステクノロジー株式会社), 山内利宏 (岡山大学)
10/31(火) 10:40-12:20 2D2: OSS開発とファームウェア	座長：面和毅（サイオステクノロジー株式会社） 2D2-1 IETF SUIT Encrypted PayloadsとMultiple Trust Domainsによる暗号化されたファームウェア配信髙山献 (セコム株式会社IS研究所), 〇磯部光平 (セコム株式会社IS研究所) 2D2-2 IoT機器におけるファームウェアバージョンアップ時のOSS脆弱性修正状況の実態調査 ◎ 柳裕人 (立命館大学), 金城聖 (立命館大学), 齋藤彰一 (名古屋工業大学), 毛利公一 (立命館大学) 2D2-3 SBOMの大規模実態調査に基づくソフトウェア透明性評価の検討〇鐘本楊 (NTT社会情報研究所), 荒川玲佳 (NTT社会情報研究所), 秋山満昭 (NTT社会情報研究所)

日時／場所

タイトル／講演者（敬称略）

OWS: OSSセキュリティ

(○は一般発表者，◎は学生発表者を表します。)

10/31(火)

09:00-10:20

2D1: OSSと脆弱性

座長：瀧本栄二（奈良女子大学）

2D1-1
BERTを⽤いたソフトウェアサプライチェーン攻撃検出⼿法の提案
○ 富永大智 (情報セキュリティ大学院大学), 大久保隆夫 (情報セキュリティ大学院大学)
2D1-2
脆弱なコードクローン検知技術を用いたオープンソースソフトウェアに内在する脆弱性の実態調査
〇荒川玲佳 (日本電信電話株式会社), 鐘本楊 (日本電信電話株式会社), 秋山満昭 (日本電信電話株式会社)
2D1-3
Linuxカーネルにおける脆弱性修正状況の調査
葛野弘樹 (神戸大学), 矢野智彦 (セコム株式会社IS研究所), 面和毅 (サイオステクノロジー株式会社), 山内利宏 (岡山大学)

10/31(火)

10:40-12:20

2D2: OSS開発とファームウェア

座長：面和毅（サイオステクノロジー株式会社）

2D2-1
IETF SUIT Encrypted PayloadsとMultiple Trust Domainsによる暗号化されたファームウェア配信
髙山献 (セコム株式会社IS研究所), 〇磯部光平 (セコム株式会社IS研究所)
2D2-2
IoT機器におけるファームウェアバージョンアップ時のOSS脆弱性修正状況の実態調査
◎ 柳裕人 (立命館大学), 金城聖 (立命館大学), 齋藤彰一 (名古屋工業大学), 毛利公一 (立命館大学)
2D2-3
SBOMの大規模実態調査に基づくソフトウェア透明性評価の検討
〇鐘本楊 (NTT社会情報研究所), 荒川玲佳 (NTT社会情報研究所), 秋山満昭 (NTT社会情報研究所)

企画講演セッション

	日時	タイトル／講演者（敬称略）
OWS企画セッション (1)	10/31(火) 13:40-15:20 2C3: OSSセキュリティとコミュニティ	招待講演座長：山内利宏(岡山大学) 「開催の御挨拶」 13:40-13:45 (5分) 中村　雄一(日立製作所) オープンソースソフトウェアの発展モデルとしてのLinux Foundationの活動について 13:45-14:35 江藤圭也 (The Linux Foundation, Fellow) 概要：オープンソースソフトウェアは、経済のほぼ全てのセクターで使用されるまでに拡大してきています。Linux Foundationは、当初Linuxを広く使って頂くために発足した財団ですが、現在はたくさんの財団を配下に持ち、オープンソース発展の車輪の一つとして活動しています。オープンソースソフトウェアの脆弱性対策も含めた産業界の要望対応について説明します。講演資料はこちらになります。 Briefing of OpenSSF 14:35-14:50 Omkhar Arasaratnam (OpenSSF, General Manager) 概要：サプライチェーンにおけるOSSセキュリティの関心が各国で急速に高まっています。OSSセキュリティを推進する主要な団体であるOpenSSFのリーダーより、OpenSSFの活動概要を紹介頂きます。本講演はビデオ登壇となり、質疑は後続の中村の講演の後に江藤・中村が承ります。 OpenSSFのサプライチェーンセキュリティ関連プロジェクトの紹介 14:50-15:20 中村　雄一(日立製作所) 概要：OpenSSFでは、OSSの開発・利用双方の側面について、セキュリティを高める活動が行われています。その中から、サプライチェーンにおける安全なOSS利用に関するプロジェクトの紹介を行います。講演資料はこちらになります。
OWS企画セッション (2)	10/31(火) 15:40-17:20 2C4: OSSセキュリティと標準化	招待講演座長: 秋山満昭 (NTT社会情報研究所) Industry standards for open source license compliance and security assurance Shane Coughlan(OpenChain, General Manager) 概要：ISO/IEC 5230:2020 and ISO/IEC 18974:2023 are industry standards for open source license compliance and security assurance. This talk will explain their value and provide practical examples of adoption and use. It will also explain how you can easily adopt these standards or get help with adoption. We will conclude with an overview of what is coming next around open source business process management. 講演資料はこちらになります。 SBOM -オープンソースコンプライアンスなどリスクマネジメントの基礎となるもの。そして、その先へ- 忍頂寺毅 (東芝）概要：SBOMはISO/IEC 5230:2020やISO/IEC 18974:2023 などのプロセスマネジメント国際標準でも言及されるなど、オープンソースの活用におけるリスクマネジメントの基礎とも言えるものです。オープンソースのSBOMフォーマットの一つであるSPDXは、国際標準(ISO/IEC 5962:2021)としても知られており、現在もコミュニティで次期仕様の検討が進んでいます。サプライチェーンで流通するSBOMとしての管理情報としての議論の動向とそれに対応するSPDXのデータフィールドの例、SPDX3.0検討の動向、また、SBOM活用としてソフトウェアアセット管理への展望などを紹介します。講演資料はこちらになります。

日時

タイトル／講演者（敬称略）

OWS企画セッション (1)

10/31(火)

13:40-15:20

2C3: OSSセキュリティとコミュニティ

招待講演

座長：山内利宏(岡山大学)

「開催の御挨拶」 13:40-13:45 (5分)

中村　雄一(日立製作所)
オープンソースソフトウェアの発展モデルとしてのLinux Foundationの活動について 13:45-14:35

江藤圭也 (The Linux Foundation, Fellow)

概要：オープンソースソフトウェアは、経済のほぼ全てのセクターで使用されるまでに拡大してきています。Linux Foundationは、当初Linuxを広く使って頂くために発足した財団ですが、現在はたくさんの財団を配下に持ち、オープンソース発展の車輪の一つとして活動しています。オープンソースソフトウェアの脆弱性対策も含めた産業界の要望対応について説明します。

講演資料はこちらになります。

Briefing of OpenSSF 14:35-14:50

Omkhar Arasaratnam (OpenSSF, General Manager)

概要：サプライチェーンにおけるOSSセキュリティの関心が各国で急速に高まっています。OSSセキュリティを推進する主要な団体であるOpenSSFのリーダーより、OpenSSFの活動概要を紹介頂きます。本講演はビデオ登壇となり、質疑は後続の中村の講演の後に江藤・中村が承ります。
OpenSSFのサプライチェーンセキュリティ関連プロジェクトの紹介 14:50-15:20

中村　雄一(日立製作所)

概要：OpenSSFでは、OSSの開発・利用双方の側面について、セキュリティを高める活動が行われています。その中から、サプライチェーンにおける安全なOSS利用に関するプロジェクトの紹介を行います。

講演資料はこちらになります。

OWS企画セッション (2)

10/31(火)

15:40-17:20

2C4: OSSセキュリティと標準化

招待講演

座長: 秋山満昭 (NTT社会情報研究所)

Industry standards for open source license compliance and security assurance

Shane Coughlan(OpenChain, General Manager)

概要：ISO/IEC 5230:2020 and ISO/IEC 18974:2023 are industry standards for open source license compliance and security assurance. This talk will explain their value and provide practical examples of adoption and use. It will also explain how you can easily adopt these standards or get help with adoption. We will conclude with an overview of what is coming next around open source business process management.

講演資料はこちらになります。
SBOM -オープンソースコンプライアンスなどリスクマネジメントの基礎となるもの。そして、その先へ-

忍頂寺毅 (東芝）

概要：SBOMはISO/IEC 5230:2020やISO/IEC 18974:2023 などのプロセスマネジメント国際標準でも言及されるなど、オープンソースの活用におけるリスクマネジメントの基礎とも言えるものです。オープンソースのSBOMフォーマットの一つであるSPDXは、国際標準(ISO/IEC 5962:2021)としても知られており、現在もコミュニティで次期仕様の検討が進んでいます。サプライチェーンで流通するSBOMとしての管理情報としての議論の動向とそれに対応するSPDXのデータフィールドの例、SPDX3.0検討の動向、また、SBOM活用としてソフトウェアアセット管理への展望などを紹介します。

講演資料はこちらになります。

OSSセキュリティ技術ワークショップ(OWS)
2023

企画講演セッション

一般論文セッション

OWS研究賞(2023)

OWS2023について

概要

主催

(社)情報処理学会コンピュータセキュリティ研究会 OWS組織委員会

後援

OSSセキュリティ技術の会

OWS2023実行委員会

プライバシーポリシー

参加登録

企画講演セッション

一般論文セッション

表彰について

スケジュール

一般論文セッション

企画講演セッション

リンク

Computer Security Symposium

過去のOWSへのリンク

OSSセキュリティ技術ワークショップ(OWS)2023

企画講演セッション

一般論文セッション

OWS研究賞(2023)

OWS2023について

概要

主催

(社)情報処理学会 コンピュータセキュリティ研究会 OWS組織委員会

後援

OSSセキュリティ技術の会

OWS2023実行委員会

プライバシーポリシー

参加登録

企画講演セッション

一般論文セッション

表彰について

スケジュール

一般論文セッション

企画講演セッション

リンク

Computer Security Symposium

過去のOWSへのリンク

OSSセキュリティ技術ワークショップ(OWS)
2023

(社)情報処理学会コンピュータセキュリティ研究会 OWS組織委員会