研究論文
企業における情報セキュリティと製品品質との関係論
黒川 信弘…… 1
コンピュータ犯罪訴訟のための電子的証拠収集管理
−CTOSEの可能性−
佐藤 修、ブラスティ・ブロウセック、ポール・ターナー……11
ネットワークコンテンツの知的財産権管理
のための法システムの方向性
児玉 晴男……19
Covert Channel
分析制御のための
Access Control
Agent System の提案
森住 哲也、牛頭 靖幸、稲積 泰宏、木下 宏揚……30
研究ノート
電子メールによる制御系への攻撃の可能性
〜サイバーテロの対象なり得るIT家電〜
神尾 博、安本 哲之助……45
[研究論文]
企業における情報セキュリティと製品品質との関係論
The
Relations of Information Security and Product Quality in Enterprise
松下電器産業株式会社 セキュリティコンサルタント 黒 川 信 弘
Matsusita Electric Industrial Co.,Ltd. Security Consultant
Nobuhiro KUROKAWA
要 旨
安心・安全を求める社会風潮の中にあってIT製品やITサービスにおける情報セキュリティの確保は、企業にとって重要な課題となりつつある。しかしながら、従来の製品品質確保の取り組みの延長線上では製品のセキュリティ品質の確保は難しい。新たな課題であるセキュリティ品質は組織の狭間に取り残され、主幹部門も管理手法も不明確なまま中途半端な対応を余儀なくされている。
本稿では、ISMS的な情報セキュリティ確保の取り組みを基本としながらも、組織の連携とセキュリティ管理項目の体系化をベースにしたセキュリティ品質の概念を提示することを試みた。さらに、製品品質とセキュリティ品質の関係、およびセキュリティ品質に関する企業内の具体的な役割分担を明確にすることを主目的としている。
キーワード
情報セキュリティ、リスクマネジメント、セキュリティ品質、製品セキュリティ
[研究論文]
コンピュータ犯罪訴訟のための電子的証拠収集管理
−CTOSEの可能性−
Electronic
Evidence Management for Computer Incident Investigations
−A Prospect of CTOSE−
東京経済大学 佐 藤 修
Tokyo Keizai University Osam SATO
タスマニア大学 ブラスティ・ブロウセック
University of Tasmania Vlasti Broucek
タスマニア大学 ポール・ターナー
University of Tasmania Paul Turner
要 旨
大学生による音楽著作権侵害の舞台となったオーストラリアの3大学(タスマニア大学、シドニー大学、そしてメルボルン大学)におけるMP3著作権侵害関連訴訟(情報開示請求事件)の事例を通して、電子的証拠収集・管理・配布上の法的・技術的問題点を示す。この事件の関係者である音楽著作権者(オーストラリアレコード産業協会)、大学、裁判所の全てにおいて電子的証拠の収集・管理・配布にそれぞれ問題があることが明らかになった。今日まで、MP3によるデジタル音楽の複製が著作権侵害を起こす事例が後を絶たない。そして大学がしばしばこの舞台になっている。本稿ではこの対策として欧州で開発されたCTOSE(Cyber Tools On-Line Search for Evidence)を紹介し、その必要性・可能性を論じる。CTOSEは著作権侵害事件だけでなく、多くのコンピュータ犯罪で電子的証拠収集管理の体系・標準として利用できるものである。CTOSE実施に有効なシステムやソフトウェアも提案されている。CTOSEは著作権処理問題の消極的解決である訴訟を効率化する仕組みである。ソフトウェア・コンテンツ業界ならずともこれを採用することが組織にとって利益になる。これを活用することは組織の情報セキュリティ向上の為に有効である。CTOSEのプロジェクト自体は終了しているが、適用経験や事例研究を通して今後更に改良していく必要があると思われる。
キーワード
コンピュータ犯罪、知的財産権、電子的証拠収集管理、CTOSE
[研究論文]
ネットワークコンテンツの知的財産権管理
のための法システム
Legal
Systems for Intellectual Property Rights Management
of Network
Contents
メディア教育開発センター 児 玉 晴 男
National
要 旨
ユビキタスネットワークにおけるコンテンツ(以下,ネットワークコンテンツとよぶことにする)の流通・利用を促進するためには,効率的で合理的な権利管理システムの構築が必要である.そのためには,ネットワークコンテンツの構造・機能を分析したうえで,権利管理システムの対象とする権利を想定しうる限り抽出し,それらの相互関係を検討する必要がある.その検討は,著作権法システムの国際的な調和と,著作権および関連する権利との関係を見いだすことである.前者の検討は,著作権法界の二つの法理,大陸法系のauthor’s rightアプローチおよび英米法系のcopyrightアプローチに対する調和になる.それは,著作権,著作者人格権,著作隣接権との相互関係を見いだすことになろう.後者の検討は,著作権と創作性を想定しないsui generis right * との関係があり,さらに著作権と特許権等の産業財産権との関係も検討する必要があろう.この検討の必要性は,ネットワークコンテンツの流通・利用の形態が今までそれぞれ著作権法と産業財産権法の枠内で調整されてきた環境からそれら権利が相互に絡み合う環境を想定しなければならないものに変えているからである.本稿は,ネットワークコンテンツの形態とその法的性質との相関関係を分析し,ネットワークコンテンツの流通・利用を促進する権利管理システムに想定される権利とその相関関係を知的財産権の全体システムとの関わりから考察する.
キーワード
著作物,物としての発明,権利管理システム,著作権,産業財産権,知的財産法
[研究論文]
Covert Channel 分析制御のための
Access Control Agent System の提案
The
Access Control Agent System for Covert Channel Analysis and Control
東洋通信機株式会社 森 住 哲 也
Toyo
Communication Equipment Co. Ltd. Tetsuya MORIZUMI
神奈川大学工学部 牛 頭 靖 幸
Faculty of Engineering, Kanagawa University Yasuyuki GOZU
神奈川大学工学部 稲 積 泰 宏
Faculty of Engineering, Kanagawa University Yasuhiro
INAZUMI
神奈川大学工学部 木 下 宏 揚
Faculty of Engineering, Kanagawa
University Hirotsugu KINOSHITA
要 旨
現代社会には多くの機能分化した社会システムが見られるが,それらの幾つかはWebシステムと言うインフラにより,益々その機能を先鋭化させている.この様な社会システムをアクセス制御の視点で見た時,情報が人づてに渡って情報漏えい・情報改ざんされる問題(Covert Channel)の解決が重要な課題の一つとなっている.特に,XMLをベースとし,ハイパーリンクを形成するWebアプリケーションシステムは,その社会装置としての重要性の一方で,Covert Channelが生じやすい構造を孕んでいる.この問題に対してRole Based Access
Control モデル(RBAC)をセキュリティモデルとして採用する場合,使い勝手及びCovert Channel の防止を両立させる事が困難である.
そこで本論文では,Liberty
Alliance Project仕様等,Webアプリケーションシステムの標準的な枠組みの中に組み込む,Covert Channel 分析制御のためのAccess Control Agent System を提案する.提案システムはCommunity(企業,団体,組織,プロジェクト等)を単位に,各Community でCovert Channel の分析を十分行っておき,他のCommunity
との通信で生じるCovert Channel に関してはアクセス要求ごとに分析と制御を行う.提案システムにより,異なるCommunity 間の通信に於いてCovert Channel 分析の計算量が減少する.この結果,Covert Channel の発見が容易になりこれを防止する事が可能になる.
提案システムは,個人情報の漏えい・改ざんを防止するWeb アプリケーションシステムとして,ポータルサイトや電子図書館などへの応用が期待できる.
キーワード
アクセス制御,セキュリティモデル,Covert Channel ,Agent System,RBAC
[研究ノート]
電子メールによる制御系への攻撃の可能性
〜サイバーテロの対象なり得るIT家電〜
Offensive Possibility to Control System
by E-Mail
〜IT Household Electric Appliances are also
Contained in the Target of Cyber Terrorism〜
クボタシステム開発株式会社 神 尾 博
Kubota Systems Inc. Hiroshi KAMIO
鳥取環境大学 安 本 哲之助
要 旨
ユビキタス社会とは、単にPDA,高機能携帯電話,RFID(Radio Frequency Identification)といった人間が遍く情報を利用できる環境の整備のみならず、IT家電等、制御システムと情報・通信システムとの融合が進む社会という意味も併せ持つ。こうした融合は利用者に数多くの福音をもたらす一方、コンピュータウイルスを送りつける等の方法で、IT家電を始めとする制御系への電子メールを使った攻撃による被害発生の、危険性を高める要因ともなる。
制御系の中でも特にIT家電は、大量普及、セキュリティの脆弱性、アーキテクチャの統一性等の理由により、無差別メール攻撃の対象となり易い。一般家庭という環境下において人命や器物に危害を加えるようになれば、もはやこれはサイバーテロリズムである。
こうした攻撃に対しては、一般のITセキュリティ対策の実施のみならず、大半の家電製品では、人間が近くにいるときのみ稼働するといった既成概念から脱却した、フェイルセーフ機能の見直しが必要となる。異種冗長性等、有効な技術上の対策も理論上は存在するが、実施にはコスト面等、様々な障壁がある。
また、家電製品のライフサイクル等を鑑みると、IT家電の普及にはまだ少し時間がかかると見られるものの、現行法では、メールによる制御系へのサイバーテロの際の対応においては限界があり、こうした危険性の高いウイルスの所持・開発自体を取り締まる事が可能となるような、法整備について論議しておくべき時期が近付きつつある。
キーワード
制御システム、サイバーテロリズム、情報家電、IT家電、ユビキタス社会、コンピュータウイルス