研究紹介シリーズ(第1回)

セキュリティ・セーフティのためのソフトウェア工学プロジェクト（SSE Project）「安全・安心なソフトウェアの構築を目指して」

インターネットなど情報通信技術は、生活基盤としての重要性を増し、いまやビジネスとプライベートの両面において、なくてはならない存在です。しかしその一方で、コンピュータウィルスや不正アクセスによる個人情報の漏えい、スパムメールによる仕事の効率性の低下など、セキュリティ被害の急増は社会問題にまで発展してきています。この問題をより複雑にしている理由として、セキュリティ被害が、悪意ある攻撃だけに起因しないということにあります。個人の注意不足や認識不足による人的ミスが、企業の存亡さえ左右しかねない大きな問題に発展するリスクをはらんでいるのです。

いかに安全・安心な情報システムを構築するかは極めて重要な課題です。セキュリティのさまざまな問題に、ソフトウェア工学、セキュリティ工学の観点から理論的に考え、分析し、体系的な方法論の確立を目指していこうというのが、アーキテクチャ科学研究系 吉岡信和准教授が率いる「SSE Project」の目的です。

要求から設計、運用までを含めた安全・安心なシステム構築の方法論の確立を目指す

アーキテクチャ科学研究系
吉岡信和　准教授

「情報システムにおけるセキュリティ課題には、『考慮すべき範囲が広い』、『セキュリティと利便性はトレードオフの関係』、『セキュリティ強化は大きなコストを伴う』、『システムには必ず脆弱な部分（セキュリティホール）が存在する』といったことがあります」（吉岡准教授）。

セキュリティは『考慮すべき範囲が広い』ため、体系的な分析がほとんど行われてこなかったのだと吉岡准教授はいいます。すなわち、資産（個人データやハードウェア資源など）に対して潜む潜在的脅威（不正アクセスやウイルスなど）を洗い出し、適用すべきポリシー（IT統制・内部統制等）を定め、セキュリティ技術（暗号化やアクセス制御など）としてどんな技術を駆使すればよいかを考える必要があります。検討すべき項目は非常に多岐に渡るのです。

このように万全なセキュリティは容易には実現しません。しかし、仮に強固なセキュリティ対策ができたところで、利便性を奪うというデメリットもあるのです。『セキュリティと利便性はトレードオフの関係』にあることを示す一例として、吉岡准教授は会計ソフトを例に説明します。

「通常、市販の会計ソフトは内部統制に準拠しており、会計を締めたあとの変更を禁止する機能が付いています。しかし、それでは業務に支障をきたすことがあるため、わざとその機能を外して使用することも少なくありません」（吉岡准教授）。

セキュリティ強化が締日の後の調整という現場の慣習を阻害し、利便性を失わせます。しかしそこで、機能を外すと便利になる代わりにリスクを負ってしまうのです。

また、企業は利益を生むための投資には積極的ですが、効果が見えづらい投資には消極的です。『セキュリティ強化は大きなコストを伴う』にも拘らず、強化による効果が見えづらいため、多くの企業の多くが消極的です。

加えて、情報システムは必ず脆弱な部分（セキュリティホール）を含み、その部分が狙われることで被害が拡大するという特徴を持っています。ユーザーのセキュリティ機能に対する認識も徹底していません。そのため、せっかくの技術も誤った使い方がなされており、それが悪意ある攻撃の格好の標的となってしまっています。

以上の理由から、これまでは、何か問題が発生する度に場当たり的に対応してきたというのが正直なところではないでしょうか。しかしそれでは安全・安心な情報システムの実現に向けた抜本的な解決にはなりません。

安全・安心な情報システムを構築するためには、セキュリティ脅威を可能な限り網羅的に抽出し、脅威に対して正しくリスク分析を行い、考慮すべき範囲を見定め、必要最低限のコストで最大限のサービスが利用できるよう、セキュリティの優先順位、保証範囲を明確にしていく必要があります。そしてその上で、想定したセキュリティレベルに対し、確実に防御できるように設計・実装する必要があるのです。

そこで、本プロジェクトでは、セキュリティに対する”要求”から”設計”、”実装”、”運用”までをトータルに考え、安全・安心な情報システムを構築するための体系的な方法論を確立していこうと考えているのです。

「脅威に対する正しいリスク分析ができれば、セキュリティ強化にどれくらいのコストをかければよいかが分かります。また、システムでカバーすべき脅威なのか、運用でカバーすべき脅威なのかを判断する基準が明確になれば、セキュリティの漏れ・抜けを低減できます。導入しようとしているセキュリティ対策が自社のポリシーに合っているか、想定する脅威に対抗できているかなどを評価し保証してくれる第三者機関も必要でしょう。本プロジェクトでは、ソフトウェア工学、セキュリティ工学を軸に、そういった情報システムのセキュリティ・セーフティに関するあらゆる課題にトータルに取り組んでいこうと考えています。最終的なアウトプットとしては、安全・安心な情報システムのモデル化や、インテグレーション技術の開発とカタログ化、さらに研究分野の確立を想定しています」（吉岡准教授）。

国内外の大学・企業の研究者とのシナジーで成果を生み出す

SSE Projectには、NII以外にも国内外を含め複数の大学、企業の研究者が参加し、共同研究を行っています。現在、取り組んでいる主な研究テーマは『コモンクライテリアのための方法論』と『セキュリティパターンに基づくシステム構築法』です。

● 研究事例（１）：コモンクライテリアのための方法論

『コモンクライテリアのための方法論』のコモンクライテリアとは、セキュリティが保証されていることを評価するための国際標準のことです。本プロジェクトでは企業と共同で、この国際標準に基づき、IT統制・内部統制を踏まえた安全・安心な情報システムの設計、構築を行い、それを保証するという一連の手順に関する研究を行っています。その一例として、マルチファンクションプリンター（複合機）の研究事例があります。この研究は、企業のセキュリティレベルを評価・認証する国の認定機関でもあるみずほ情報総合研究所とNIIとの共同研究『コモンクライテリアのためのモデリング手法』で行われています。

セキュリティターゲット（＝セキュリティ設計仕様書）では、「評価対象」、「資産」、「脅威」、「対抗策」、「機能要件」、「セキュリティ保証要件」を明確にする必要があります。そもそもマルチファンクションプリンターにセキュリティ機能が必要なのはなぜか。それは、社内の機密文書をコピーしたり印刷したりする可能性があり、その機密文書は企業にとって”資産”だからです。

マルチファンクションプリンターには、セキュアな印刷機能や、「利用者限定印刷」といったセキュリティ機能性を搭載することが不可欠となります。したがって、ここでは、セキュアな印刷機能、セキュリティ機能性が”評価対象”となります。そして、セキュリティの”機能要件”としては、印刷前の認証要求が挙げられます。さらに、その”対抗策”として、IDによる本人認証が考えられます。

一方、印刷物の持ち出しといった人的な脅威も想定されます。そのため、セキュリティ対策方針として、システム面だけでなく、運用面において、機密文書の取り扱いに関するセキュリティポリシーを定める必要も出てきます。さらに、マルチファンクションプリターは、通常PCから印刷操作を行いますが、その際、ネットワークが脆弱では盗聴されてしまう可能性がありますので、運用環境として、外部から盗聴されない社内LANにする必要があります。

このように、本プロジェクトでは、評価対象、資産、脅威、対抗策、機能要件、セキュリティ保証要件を明確化し、これらの情報セキュリティ対策の分析手法の確立を目指しています。また、システムの要求分析の際によく利用されるユースケース図を拡張することで、既存のシステム開発との融合を進める予定です。

● 研究事例（２）：セキュリティパターンに基づくシステム構築法

一方、『セキュリティパターンに基づくシステム構築法』では、スパイウェアなどのアタックパターンによる脆弱性分析、パターンの登録・分類・検索の研究を海外の研究者と共同で行っています。情報システムは攻撃される前に防御する必要がありますが、起こっていない脅威を見つけるのは難しく、ネット社会では攻撃者を特定するのは困難です。また、常に新た脆弱性と攻撃方法が発生しており、完ぺきな脅威分析は不可能です。

そこで、セキュリティ情報（インシデント情報）を蓄積、再利用したり、ネット情報の盗聴のパターンやホームページ上の個人情報の取得パターンなど典型的な攻撃パターンを、参考にしやすい形式でカタログ化し再利用できるようにすることによって、脅威分析の難しさを低減し、安全・安心な情報システムがより簡単に構築できるようにしようというわけです。

以上のように、SSE Projectでは、国内外の大学や企業との密な連携を通じて、安全・安心な情報をシステムを構築するための方法論の確立を目指しています。具体的な研究活動としては、2007年度より年2〜3回のペースでワークショップを開催しています。さらに、研究成果を広く普及するためにセキュリティに関する書籍や解説書の執筆、セキュリティ関連のシンポジウムやチュートリアル、講演会の開催などを行っています。

プロジェクトページ

• セキュリティ・セーフティのためのソフトウェア工学プロジェクト-安全・安心なソフトウェアの構築を目指して(SSE Project)