Workshop on Usable Security (USEC12)参加報告
3
0
0
全文
(2) .
(3) 参加報告 金岡 晃. . 高橋 健志. 概要: 年 月 日にオランダ領アンティルのボネール島で開催された
(4) の参加報告を行なう。報告は、ワークショップの概要に加え、いくつかの論文に関する紹介も 行なう。 キーワード:ユーザビリティ、セキュリティ.
(5) . . .
(6)
(7)
(8) .
(9)
(10)
(11)
(12)
(13)
(14) ! "! #
(15) "
(16) $
(17) !.
(18)
(19) 対象とした国際会議では (
(20) . はじめに. )が著名であるが、このような対象. セキュリティ技術に関する学術的研究や、セキュリティ. を絞った国際会議は他に無く、 は に続くセ. のマネジメントに関する研究はこれまで多くされてきてい. キュリティ・プライバシ分野でのユーザビリティに関する. る。高機能なスマートフォンが急激に浸透し、よりユーザ. 国際会議と位置付けることができると思われる。. がさまざまな脅威にさらされるなか、セキュリティがます. ユーザビリティの研究は、 ( !. ます重要とされている。一方で、セキュリティを実現する. " )の分野としてセキュリティやプライバシの文脈. ために利用者のユーザビリティが軽視される部分も存在す. ではなくより広く研究が行なわれてきており、 や. る。セキュリティは無視できなくなっている現在において、. はユーザビリティの研究分野における文化がある。. 高いユーザビリティを確保しながらセキュリティの確保や. それは技術的なコンピュータセキュリティやネットワーク. プライバシの保護が行なわれることが重要になってくる。. セキュリティ、または暗号理論や暗号技術、セキュリティ. ユーザビリティとセキュリティ・プライバシを考慮した研. マネジメントなどの研究分野とは異なる側面であり、論文. 究は、注目が集まりつつある分野であり、それらを対象と. における表現や提案手法の評価手法、議論される内容など. した国際会議も開催されてきている。その. つの国際ワー. クショップである
(21) に筆者ら. は大きく異なる。本稿ではそれらの側面を示す例として、. におけるいくつかの論文も合わせて紹介する。. は参加をしてきた。本稿では 年 月 日に開催され. 本論文の構成は以下の通りである。まず第 章でワーク. た
(22) について報告を行なう。. ショップの概要を示す。第 章において、発表論文のうち. セキュリティ・プライバシにおけるユーザビリティを. いくつかの論文について概要を紹介する。最後に第 # 章で. . . 情報通信研究機構 〒 東京都小金井市貫井北町 . まとめる。.
(23) .
(24)
(25)
(26) . ½.
(27) Vol.2012-GN-84 No.18 Vol.2012-SPT-3 No.18 2012/5/18. 情報処理学会研究報告
(28) . の試行の上限回数が定められていなかったため、著者らは. ワークショップ概要. さまざまなパスフレーズを合わせて 用意し、それ. は 年 月 日に、オランダ領アンティルの ボネール島の $ % & ' ( において開催 された ) *。 年 月 + 日から 月 日まで開催された. % & $ )* の共催 ワークショップの. つであり、もう. つのワークショッ. プは ( . ,( - である。. は , " - という 団体により主催されているワークショップであり )*、同 団体ではこれまで " "!. , - を過去 回にわたって開催して おり、 と題したワークショップは初めての開催で あった。. がターゲットとしている分野は. セキュリティの 文脈におけるユーザビリティと人間の要素のあらゆる側面 の研究であるとされている。 投稿は /0 フォーマットで ページを上限とされて いる通常投稿と、上限が 1 ページであるショートペーパー の 種類が可能であった。投稿は開催のおよそ ヶ月半前 の . 年. 月 日に締め切られ、採録通知は 月 1. 日、カメラレディの投稿が 年の. 月 1 日というスケ. ジュールであった。 発表された論文は 2 本で、そのうち. 本が . であった。 セッションとそれぞれのセッションでの発表数は以下の 通りである。. 論文の狙いは、大量のデータからパスフレーズを複数使 うことによる統計的な偏りを示すことで、その強度を測る 部分にあった。 はそのログイン方法や上限回数 の無さに問題があるシステムであったがそれを利用するこ とで統計情報を得ている。ユーザが選ぶ情報に関する偏り を示す、という研究もユーザビリティに関する研究として 受け入れられるということを示した論文でもあろう。.
(29)
(30) ! " # $ % の を筆頭著者として、. "
(31) & の共著者 人を含む # 名での論 文である )8*。 スマートフォンの増加に伴い、位置情報を利用した
(32) 上のサービスが増えていることを踏まえ、それらの位置情 報に対するアクセス制御はユーザにとってどう捕らえられ ているかをフリーフォームのアンケートを取ることで解析 したものである。 質問は以下の + つの項目について、それらの情報が保護 されるべきかについて !8 までで点数付けしてもらい、そ の理由を記載するものである。. , - だれが位置情報を取得するか , - 情報へのアクセス理由 ,-. 日のうち何時にアクセスしているか. , # - 何曜日にアクセスしているか. , - 3 ,発表数 ). , 8 - ユーザの現在位置. , - 4 & ,発表数 ). , 1 - 開示された位置情報の特徴. , - 4 ,発表数 ) 参加者およそ 名程度であり、大規模とは言えないが 各発表に対する質疑応答は活発であった。. , + - 一定期間でのアクセス数 項目 、 はいずれも高い点数を付ける傾向にあり、それ らは予想できるものであった。一方、項目 、# に関して. 発表論文概要. は点数が分散する傾向にあり、ユーザ間で重要性の認識に. . 違いがあることが伺える。また、ユーザの現在位置と一定. "
(33) & の 5 ' らによる論. ユーザにアンケートを取ることでそのユーザビリティを.
(34)
(35) . . 文である )#*。 複数のパスフレーズを認証情報として利用するシステム での利用されるパスフレーズの特徴を解析し、出現確率の 偏りを示したものである。. 6 7 社の では、ログインに際しユーザ $ などは必要とせず複数のパスフレーズを入力すること によりユーザ認証を行なう。 ではすでに利用さ れたパスフレーズの組は新規登録時のログイン情報として 利用できないことに加え、新規登録におけるログイン情報. . らの組合わせをチェックし、その偏りを示した。.
(36)
(37)
(38) . 期間でのアクセス数は高い点数にあることがしめされた。 調査する研究は多く、本論文もその. つである。調査の方. 法やその分析については、セキュリティのユーザビリティ としてではなく、 ( " )分野 などで多く研究されており確立されているものと見える。. . $ & #
(39) # ' $ $ # & 4 の 9 を筆頭著. 者とした計 1 名の著者による論文である。他の著者の所属 として " & . 4" がある )1*。 ¾.
(40) Vol.2012-GN-84 No.18 Vol.2012-SPT-3 No.18 2012/5/18. 情報処理学会研究報告
(41) . スマートフォンのアプリケーションがインストールされ るときに表示されるさまざまな権限設定などの情報につい. ネジメントの分野とは異なる評価軸や文化があり、それら に注意して投稿や発表を行なう必要があるであろう。. て、利用者がどのようにそれらの情報を捕らえていて、ど. 章で紹介をした論文では、いずれも人間系を強く捕ら. うアプリケーションに対する信頼を確率しているかの調査. えた評価が論文内で行なわれており、本分野の特徴がよく. を行なったものである。. 現れたものであると言える。. 調査の結論として、以下の 点が挙げられている。. ¯ 権限設定情報などがあることはユーザはしっており、 読むこともしているが理解はしていない. は決してレベルの高い国際会議とは言えないが、 ユーザビリティの分野でのセキュリティ・プライバシの扱 われ方やこれからの発展を見定めるには良い場所であっ. ¯ 信頼は、口づてや他のユーザによるレーティング、ア. た。今後、 を始めとするセキュリティ・プライバシ. ンドロイドマーケット上のレビューコメントなどによ. のユーザビリティに関する研究分野はより活発となってい. り確立されている. くことであろう。そのときに、研究における提案手法に人. ¯ 利用者はマーケット上にマルウェアが存在することを 知らされていない. 間系を考慮にいれた評価を行なうことや、人間の特徴その ものを調査することなどが行なわれると同時に、セキュリ. スマートフォンにおけるユーザビリティとセキュリティ、. ティ・プライバシの視点でのユーザビリティの研究はどの. そしてプライバシの問題は本分野では非常に盛んに取り上. ような評価がされるべきかという側面の研究や議論も行な. げられている分野であり、. われてくるであろう。. 年の でもいくつか. の論文がスマートフォンに対するセキュリティとプライバ シを対象としていた。. ( )* +#
(42) ' ( 3 " / の 4 を筆頭著者とした論文である )+*。. と の相互作用が発生するシステムで. 参考文献 *. は、その攻撃の多くは暗号学的な要素に対して行なわれて いるのではなく、人間との相互作用部分に対して行なわれ. 4. ているという点に注目し、人間系の相互作用における弱点 ( )について、分類を行ない、また分類された情 報から、それぞれに対して対策として設計はどうあるべき. ;. かの指針をマッピングしている。 人間との相互作用部分はまさにユーザビリティが関係す る部分であり、それらを整理し分類することは非常に重要 だと考えられる。聴講者からも活発な質問があったことな どから、重要なポイントを押さえていた発表であったこと. =.
(43) .
(44) !
(45) "
(46)
(47) #$". %
(48)
(49) &
(50) # ' % . ! "!"
(51) #$" ( )
(52) !(
(53)
(54) ( ).
(55) !
(56) "
(57) + ,
(58)
(59)
(60) - ./
(61) & 0 1 ! 213# 0 .
(62) ( 0 5
(63)
(64) / 6 7#( / 7 8 # .2 0- 0 $
(65) &
(66) #1 9
(67) ! %!( /
(68) 7 : .
(69) 0 8
(70)
(71)
(72) - /
(73) +
(74) +
(75) & <(
(76) # '-# .7
(77)
(78) #( ! 0(
(79) )
(80)
(81) & 7
(82)
(83)
(84) 7
(85) ## (
(86) .
(87) 2 6
(88) 0 .
(89) #
(90) #
(91) &
(92) ! >(
(93) 10 )
(94)
(95) .
(96) . がわかる。. まとめ セキュリティ・プライバシにおけるユーザビリティに 焦点を当てた国際ワークショップ
(97) . の報告を行なった。報告ではワークショップが対 象としている分野や、採録された論文、またセッション名 などからそのワークショップの特性を示すことを狙った。 ユーザビリティの分野は、スマートフォンを初めとする 高機能デバイスが人の身近なところに多く存在するように なった現代においてより重要な分野となってきている。セ キュリティ・プライバシの視点をもったユーザビリティの 研究は、ますます重要となって行き、これらの分野の発展 が十分に予想される。一方で、技術的なセキュリティやマ. .
(98)
(99)
(100) . ¿.
(101)
関連したドキュメント
ても情報活用の実践力を育てていくことが求められているのである︒
が書き加えられている。例えば、図1のアブラナ科のナズ
このように、このWの姿を捉えることを通して、「子どもが生き、自ら願いを形成し実現しよう
ヒュームがこのような表現をとるのは当然の ことながら、「人間は理性によって感情を支配
う東京電力自らPDCAを回して業 務を継続的に改善することは望まし
脱型時期などの違いが強度発現に大きな差を及ぼすと
生活のしづらさを抱えている方に対し、 それ らを解決するために活用する各種の 制度・施 設・機関・設備・資金・物質・
Google マップ上で誰もがその情報を閲覧することが可能となる。Google マイマップは、Google マップの情報を基に作成されるため、Google