20巻 第1 20064

巻頭言

    創立20周年を迎えた学会の課題

    −目に見えるもの、見えないもの−

                     黒川恒雄… 1

研究論文

    情報セキュリティマネジメントからの

    個人認証システムの提案

内田勝也… 3

    コンピュータウイルスに対する

    検疫ネットワークの考察

田中 修、内田勝也…13

研究ノート

    セキュリティシステムの導入・運用コスト

    を評価するための一方法

中野 学、清藤武暢、古江岳大、松本 勉…27

 

解説

特集「20周年」

  創立20周年に際しての回顧

鵜沢昌和…35

創立20年史

清水 汪…39

セキュリティの理念と本学会の活動

辻井重男…41

    金融分野における暗号アルゴリズムの2010年問題について

宇根正志、神田雅透…46

ニュースレター

………………………………………………57

 

情報セキュリティマネジメントからの

個人認証システムの提案

The Proposal of Personal Authentication System

from Information Security Management

情報セキュリティ大学院大学    内 田 勝 也

Institute of Information Security    Katsuya UCHIDA

要 旨

個人認証システムとして、パスワードが利用されてきたが、パスワードの問題点は20年以上も前から指摘されてきた。しかし、情報セキュリティ先進国と言われる米国でも継続的な調査結果をみる限り、パスワードが未だに50%程度の企業・組織で利用されている。そこで、固定パスワードによる個人認証に若干のコストを追加するだけで、セキュリティ強度を高めるとともに利便性を向上させる仕組みを検討した。この提案により、企業・組織における情報セキユリティ強化に貢献できると考える。

提案システムでは、固定パスワード利用の延長として、パスワード候補表を作成し、その表の位置パターンを利用者が覚え、その位置パターンにある文字をパスワードに利用する。なお、パスワード候補表の縦・横の文字数、利用できる文字種、パスワードの更新頻度等は、企業・組織におけるパスワードポリシーに従って決めることができる。

キーワード

 位置記憶認証、拡張固定パスワード認証、個人認証、情報セキュリティマネジメント、パスワード

------------------------------------------------------------------------------------

 

コンピュータウイルスに対する

検疫ネットワークの考察

Study of a Quarantine System for Computer Viruses

情報セキュリティ大学院大学       田 中   修

Institute of Information Security    Osamu TANAKA

情報セキュリティ大学院大学    内 田 勝 也

Institute of Information Security   Katsuya UCHIDA

要 旨

 近年コンピュータを利用したネットワーク上で、悪意ある行為が増加してきている。悪意ある行為のひとつであるコンピュータウイルスが短時間で大規模に感染を広げるようになってきた。このような大規模な感染が発生するようになった背景として、従来のアンチウイルスソフトだけでは対策が不十分になってきたことが考えられる。このため本稿では、管理者が能動的に企業内のネットワークをセキュアに保つための対策について検討した。この際、最近注目され始めている検疫ネットワークについて考察した。

 

キーワード

 ウイルス、検疫ネットワーク、SlammerWarhol Worms

------------------------------------------------------------------------------------

 

セキュリティシステムの導入・運用コスト

を評価するための一方法

A Method to Evaluate Implementation and Operation Cost for Security Systems

横浜国立大学大学院環境情報学府/研究院       中 野   学

Graduate School of Environment and Information Sciences, Yokohama National University 

Manabu NAKANO

      横浜国立大学大学院環境情報学府/研究院       清 藤 武 暢

Graduate School of Environment and Information Sciences, Yokohama National University 

 Takenobu SEITO

      横浜国立大学大学院環境情報学府/研究院       古 江 岳 大

Graduate School of Environment and Information Sciences, Yokohama National University 

Takahiro FURUE

      横浜国立大学大学院環境情報学府/研究院       松 本   勉

Graduate School of Environment and Information Sciences, Yokohama National University 

 Tsutomu MATSUMOTO

要 旨

 セキュリティシステムを利用する場合,ネットワークの管理者がそれを導入・運用するために多くの時間を必要とする.管理者がセキュリティレベルを維持するために必要なこの時間はある種のコストであり,複数あるセキュリティシステムの選別時にはコストの少ないシステムを選ぶための評価法が必要となる.現在までに様々なリスクマネジメントを利用したセキュリティ評価法が提案されているが,従来のセキュリティ評価法ではITシステムやネットワーク環境のみを考慮したものとなっている.本提案ではネットワークを管理するセキュリティ管理者の知識レベルを考慮し,セキュリティシステムを使う上で必要とされる知識を管理者が身につけることを一つのコストと捕らえた.また,セキュリティ管理者の知識レベルを「情報セキュリティスキルマップ」を利用することによって判断し,それに見合ったセキュリティシステムを選択することで,管理者が知識習得に必要とするコストを削減することを目的としている.本論文ではセキュリティシステムの利用を導入時と運用時の二つの状態に分け,リスクマネジメントの視点から管理者の手間が最も少ないセキュリティシステムを判断するための指針となるアイディアを示す.これによって,セキュリティ管理者がセキュリティシステムを導入・運用する際に,管理者にとって負担が少ないセキュリティシステムを選択できることを明らかにする.

 

キーワード

 リスクマネジメント,ネットワークセキュリティ,省力化,セキュリティ評価,セキュリティ知識

------------------------------------------------------------------------------------