東京大学大学院情報理工学系研究科 電子情報学専攻 教授 坂井修一先生インタビュー「情報法学・マネジメント論と侵入防止技術の融合による超セキュア情報システム」(第1回)
パソコンにインストールされている「ウイルス対策ソフト」は、このような攻撃に対して効果がないのでしょうか。
従来のセキュリティソフトは、統計データに基づいて「このような動きをするプログラムは危険である」と判断し、侵入を防ぐなどの防御をします。このため、まだ発見されていない脆弱性や、新種のウイルスに対しては、効果が見込めません。
そこで私たちは、まだ発見されていない脆弱性への攻撃に対して「これは悪意のある攻撃である」と判断し、システムへの侵入を防ぐ技術の研究開発を行っています。
私たちが開発した技術のひとつは「すでに知られている危険なプログラムの動き方」で判断するのではなく、ある対象への情報の流れ方(アクセスのパターン)に着目し、その情報フローを追跡することで「アタック(攻撃)か、そうでないか」を見分けます。
そこで私たちは、まだ発見されていない脆弱性への攻撃に対して「これは悪意のある攻撃である」と判断し、システムへの侵入を防ぐ技術の研究開発を行っています。
私たちが開発した技術のひとつは「すでに知られている危険なプログラムの動き方」で判断するのではなく、ある対象への情報の流れ方(アクセスのパターン)に着目し、その情報フローを追跡することで「アタック(攻撃)か、そうでないか」を見分けます。
従来のセキュリティソフトでは対応できなかった「未知の動作パターンを持つ攻撃」に対して、情報フローの追跡という手法を用いることで「アタックかもしれない」と判断できるようになる、ということですね。
はい。今の段階では「アタックであるもの」を見逃さないシステムになっていますが、まだ「アタックではないもの」も「アタックである」と判断してしまうことがあるため、より正しい判断ができるよう研究を進めているところです。
それでは最後の(3)について、お願いします。
銀行キャッシュカードの暗証番号を「すぐに忘れてしまうから」と、カードの裏側に書き込んでいる人がいる……というのは極端な例ですが、「すべてのパスワードを完全に記憶している」という人は、おそらくいないでしょう。現代では多くのサービスがICTを活用しているため、サービスを受ける我々は必然的に、いくつものIDとパスワードの組み合わせを持たなければなりません。
同じパスワードを使い回してはいけない、紙に書いたりパソコン内にメモを残しておくことも危険である、定期的に変更しなければならない……等々、パスワードの扱いに苦慮している人は多いと思います。
とくに暗号鍵など、会社の機密情報の管理を担う社員は「絶対に他者に知られてはいけない」という大きな心理的負担を背負っています。そうしたプレッシャーが原因で適切な管理ができなくなると、その隙を狙ってアタックされてしまいます。そのため、最近は指紋認証や静脈認証といった「生体系認証」を企業が導入したり、一度しか使うことができない「ワンタイムパスワード」なども、銀行などでよく見かけるようになりました。
私たちが考えているのは、ヒューマン・コンピュータ・インタラクション(HCI)指向セキュリティです。無線LANに接続する際、パスワードを入力する代わりに機械のボタンを押すと、接続に必要な信号を発する仕組みです。
私たちが考えているのは、ヒューマン・コンピュータ・インタラクション(HCI)指向セキュリティです。無線LANに接続する際、パスワードを入力する代わりに機械のボタンを押すと、接続に必要な信号を発する仕組みです。セキュリティの方法は「IDとパスワードの組み合わせ」に限らず、どんどん新しい方法が生み出されて、実装されていくのですね。
そうです。たとえば行動パターンにも、指紋や静脈と同じように「個人特有のもの」があります。たとえば会社から駅に移動するとき、Aさんは「歩く」、Bさんは「バスを使う」というふうに、個人によって異なる行動のクセがあるのです。GPS機能を活用すれば、このような行動パターンによる認証も可能になります。大がかりなものではなく、簡易なデバイスを用いたセキュリティレベルの向上を目指して、さまざまな認証方法を考えているところです。