「人、物、行為を証明するデジタルフォレンジックを考える」
コンピュータサイエンス学部 宇田 隆哉 講師
■先生の研究について教えてください。
文字の研究は何ですか
私は認証技術の研究をしています。ひと口に"認証技術"と言っても、いろいろなものがあります。現在の電子的な認証技術は、その"人"が本人であるということを証明するところからはじまったのではないかと思います。そこから派生して"人"が持つ"物"を証明する流れになりました。改竄されていない身分証明書を持っている人は本人ですよね。研究室では情報セキュリティに関して幅広い分野の研究を行っていますが、今、私が注目しているのは、"デジタルフォレンジック"です。
これは電子的な情報を法的な証拠として有効にすることです。私としては"人"や"物"だけでなく、"行為"そのものも電子的に証明できるようにしたいと考えています。つまり、誰が何をしたかということを裁判の場などで証明できるようにしたいのです。例えば、ネットワーク上で犯罪が起きた時、「犯罪者はこの人です」と証明したいわけですが、「この人が犯罪行為をした」という電子的な記録は0と1で構成されるデジタルデータですから、後から誰にでも作成できてしまいます。そこで、この電子的な記録が有効であることを理論的に証明する必要があります。それを証明する手段や技術が、デジタルフォレンジックです。現在、ネットワークを通して送受信される情報は、電子的に作成されたデジタルデータです。デジタル� �ータは誰にでもどのようにでもつくれますし、後から都合のよいように変更できます。それをできないようにする、つまり「あなたはこの記録を知っているし、この記録は改竄されていない」という電子的な記録ができれば、実際の裁判で証拠として有効ですよね。そういう研究に取り組んでいます。
■具体的には、どういったものを使って研究をされているのですか?
大学生は、次の3つのカテゴリに分類されます。
今は、携帯電話に注目しています。携帯電話と暗号技術を組み合わせてデータにデジタル署名を施し、改竄・否認されないようにしようというのが目下のテーマです。デジタル署名を用いると、データの送信者が本人か、データが改ざんされていないかを確認することができます。デジタル署名は公開鍵暗号の理論に基づいて作成されます。公開鍵暗号は暗号の一種で、この技術を用いて署名されたものは直筆の署名・捺印と同等の法的効力があると日本の法律で定められています。ですからデジタル署名をほどこしたものは、法的に証拠として有効だといえるのです。このデジタル署名を携帯電話で作成したり、確認したりする技術の開発に取 り組んでいます。
こうした認証技術が進歩すれば、例えばインターネットを利用して買い物をしたときに届く、電子的な明細や領収書をそのまま税務署に提出できるようになるわけです。現在でも、インターネットを利用して買い物をすると、領収書や請求書などがメールで届きますよね。けれどもそれはデジタルデータですから、誰でも簡単に作成できますし、変更もできます。いくつも複製して複数の組織に何重にも経費申請できますし、日付や金額、買ったものだって変更できてしまいます。そのため一般には、経費の申請に電子的な領収書は認められず、買った先から改めて紙の領収書を送ってもらわなければならないのです。ところが、もしこの電子的な領収書に、公開鍵暗号に基づくデジタル署名がほどこされていれば、内容を1ビットたりとも 変更できませんので、デジタルデータでも領収書として有効になります。もちろん、領収書に固有の番号が振られていれば、二重に使用することもむずかしくなります。そうすると、紙の領収書を送ってもらうというようなコストは不要になるのです。
コンピュータ教育は何ですか?
■研究の面白さとは、どんなところにありますか?
"面白さ"というものではありませんが、認証は今後も使われていく重要な技術ですので、その技術に関われるところが魅力といえば魅力かもしれません。ネットワークが発展し続けている今、情報セキュリティの世界もどんどん進歩しています。人を騙して個人の重要な情報を盗み取る「フィッシングサイト」なんて、今では当然のように存在していますが、数年前までは聞き慣れない言葉どころかそもそも存在していませんでしたよね。情報セキュリティの世界では、誰かが何かを安全にしようとする仕組みを考えると、悪い人が今度は違う手口を考えて悪いことをしてしまいます。それを受けて、何か対策を考えると、また悪い人がその抜け道を考えて…という� ��況ですので進歩せざるを得ないのです。かといって、セキュリティを厳重にすればするほど良いのかといいますと、そう簡単な問題ではありません。厳重にすればするほど、動作環境が重くなったりします。ですから私はパフォーマンスと安全性のバランスを常に評価するように心がけています。また、セキュリティにかけられるお金は有限です。一箇所に全額をつぎ込んでセキュリティを高めても、別のところに穴があれば無意味です。リスクは常に多重であり、リスク同士が絡み合っていますので、どこにどれだけお金を掛けるかを考えることも重要です。少ないお金で高い安全性が実現できればベストですよね。低コストで安全性が高まる方法を、研究を通して見つけていきたいと思っています。
■研究室の学生たちは、どんな研究をするのですか?
認証技術に興味を持っている学生もいれば、そうでない学生もいます。ですから研究テーマは、学生自身に決めてもらっています。全く情報セキュリティの分野と関係がない研究でも構いません。学生に"他にやりたい研究があったのにテーマを決められた"と思われてしまうことが一番良くないので、自由に決めなさいと言っています。
学生が手がけた研究の中には、面白いものがあります。例えば、修士課程の学生が取り組んでいる音楽コンテンツの研究。MIDIという電子的な音楽の規格がありますよね。そのデータの中に、音を後ろからも回り込んで聞こえるようにするサラウンドのデータ信号を埋め込むという研究です。これには、データを他のデータに密かに埋め込んで重要なデータがどこにあるのかわかりにくくするステガノグラフィという技術が利用されています。MIDIの規格を壊さないようにしつつ、こっそりと別のデータを埋め込むという部分で、面白みのある研究だと思います。音楽でしかもサラウンドといいますと、情報セキュリティとは関係なさそうな分野ですが、ステガノグラフィというデータハイディング技術の一種を利用することで、情報セキュ� �ティ分野とのつながりが生まれています。この研究は、今年7月に開催された情報処理学会のシンポジウムでヤングリサーチャ賞を受賞しています。
■では、最後に今後の展望をお聞かせください。
デジタルフォレンジックの将来について言えば、いろいろなものに低コストの認証デバイスがつけられ、さまざまな人の行為が電子的に証明できるようになれば良いと思っています。そうすれば詐欺も減りますし、加害者をすぐに特定することもできますからね。また、情報セキュリティの分野は、非常に幅広いものです。研究者が多いのは暗号の分野ですが、裁判の証拠として使うためには法律の知識が必要ですし、電子商取引で安全にお金を動かすためにセキュリティ技術があるわけですから、経済学とも関係があります。心理と情報セキュリティの関係を研究している人もいます。私自身はいろいろな分野にまたがって、研究をしていきたいと思っています。セキュリティの研究者や技� ��者の中では、自分の専門外のことには足を踏み入れたくない人が多いとのことです。しかし、セキュリティを侵す悪い人は、分野を横断的に自由に組み合わせて、悪いことを考えてきます。フィッシングはまさにその代表例で、心理と技術の融合ですよね。ですから、ネットワーク上の犯罪から人を守る側の私たちも、分野にとらわれず、幅広く研究していく必要があります。そこにセキュリティの未来があるのではないかと思っています。
[2009年7月取材]
・次回は10月9日に配信予定です。
2009年9月9日掲出
0 件のコメント:
コメントを投稿