セキュリティやプライバシーに関するSoK論文やサーベイ論文をSoKする

Transcript

1. セキュリティやプライバシーに関する SoK論文やサーベイ論文をSoKする 金岡 晃（東邦大学）

2. Systematization of Knowledge 2019/7/24 セキュリティサマーサミット2019 in 高知 1

3. SoK(Systematization of Knowledge)論文とは 2019/7/24 セキュリティサマーサミット2019 in 高知 2 単なるサーベイではない 既存の知識の評価、体系化、文脈による解釈

   確立された領域に新たな洞察、再評価 新たな分類法

4. 31st IEEE Symposium on Security and Privacy 2019/7/24 セキュリティサマーサミット2019 in

   高知 3 https://www.ieee-security.org/TC/SP2010/archived/cfp.html

5. SoK論文募集＠IEEE S&P 2010 2019/7/24 セキュリティサマーサミット2019 in 高知 4 “The goal

   of this call is to encourage work that evaluates, systematizes, and contextualizes existing knowledge. These papers will provide a high value to our community but would otherwise not be accepted because they lack novel research contributions.” • 既存の知識の 評価（Evaluates） 体系化（Systematizes） 文脈による解釈（Contextualize） • コミュニティにとって高い価値があるが、新規性の欠如により採録されない を奨励

6. SoK論文募集＠IEEE S&P 2010 2019/7/24 セキュリティサマーサミット2019 in 高知 5 主要研究領域に有用な視点を提供するサーベイ論文 survey

   papers that provide useful perspectives on major research area 説得力のある証拠をもとに長年信じられてきたものに対する 支持や異議を唱える論文 papers that support or challenge long-held beliefs with compelling evidence 特定問題を解決するための競合するアプローチ群に対して 広範囲かつ現実的な評価を与える論文 papers that provide an extensive and realistic evaluation of competing approaches to solving specific problems

7. SoKのFAQ@IEEE S&P 2010 ＜意訳＞ 2019/7/24 セキュリティサマーサミット2019 in 高知 6 https://www.ieee-security.org/TC/SP2010/archived/sokfaq.html

   なんでやるの？ コミュニティが過去の記憶失ってきて、一般的に理解を深めるには必ずしも役立たないちょっとし た結果がいっぱいになっちゃった。 国際会議の研究論文評価は新規性至上で、そういう情報の行き場がなくなったんだよね。 何本通るの？ 2-4くらいかな 研究論文と競合する？ ノー。研究論文の採録数を減らすわけじゃないよ。

8. SoKのFAQ@IEEE S&P 2010 ＜意訳＞ 2019/7/24 セキュリティサマーサミット2019 in 高知 7 https://www.ieee-security.org/TC/SP2010/archived/sokfaq.html

   SoK締め切りが研究論文締め切りより遅い！研究論文をSoKとして出しちゃってO.K.? だめ。 ページ数とかフォーマット制限は？ 研究論文と同じ 採録されたSoK論文はどういうプレゼンするの？ 研究論文と同じような感じで SoK論文ってどう「カウント」されるの？ 知らね。ガイドラインないし。 でも、研究論文と同じ価値を認めてあげてほしい。僕たちは厳密な査読をするよ。

9. SoK論文の位置づけ変遷 2019/7/24 セキュリティサマーサミット2019 in 高知 8 S&P 2013 S&P 2015

   S&P 2016 2020現在も踏襲 SoKを募集する他の国際会議 もほぼ同様の文言 注目研究領域の特定 未解決課題が存在するオープンな領域の指摘 重要課題の解決に向けた優先順位の提示 • ゴールは変わら ず。内容の例と して3つ新たに 提示 • 単なるサーベイ ではないことが 強調 • 2010で挙げた3 例が2例に 確立された主要研究領域に関する重要な新しい洞察 説得力のある証拠をもとに長年信じられてきたものに対す る支持や異議 • 2015の2例に 1つ追加 確立された主要研究領域に関する重要な新しい洞察 説得力のある証拠をもとに長年信じられてきたものに対す る支持や異議 主要研究領域に対する説得力のある包括的な新たな分類法

10. SoK論文を募集している国際会議 2019/7/24 セキュリティサマーサミット2019 in 高知 9 会議名 開始年 IEEE S&P

    2010 USENIX Workshop on Offensive Technologies (WOOT) 2011 ACM Workshop on Artificial Intelligence and Security (AISEC) 2012 Hardware and Architectural Support for Security and Privacy (HASP) 2015 Privacy Enhancing Technologies Symposium (PETS) 2016 Security Standardisation Research (SSR) 2017 IEEE European Symposium on Security and Privacy (EuroS&P) 2017 Workshop on Attacks and Solutions in Hardware Security (ASHES) 2017 Reversing and Offensive-oriented Trends Symposium (ROOTS) 2017 Fast Software Encryption (FSE) 2017 ACM ASIA Public-Key Cryptography Workshop (APKC) 2018 RSA Conference Cryptographers’Track (CT-RSA) 2018 ACM ASIA Conference on Computer and Communications Security (AsiaCCS) 2019

11. SoK論文発表数 2019/7/24 セキュリティサマーサミット2019 in 高知 10 会議 2010 2011 2012

    2013 2014 2015 2016 2017 2018 2019 計 S&P 5 4 7 5 3 4 5 3 2 4 42 HASP 0 0 0 0 0 0 PETS 2 0 0 1 3 EuroS&P 2 1 1 4 ASHES 1 0 1 ROOTS 0 0 0 CT-RSA 0 0 0 APKC 2 0 2 AsiaCCS 2 2

12. SoK論文外形傾向：ページ数 2019/7/24 セキュリティサマーサミット2019 in 高知 11 平均 16.7ページ

13. SoK論文外形傾向：参考文献数 2019/7/24 セキュリティサマーサミット2019 in 高知 12 平均 81.9件

14. SoK論文の内容 2019/7/24 セキュリティサマーサミット2019 in 高知 13 多数の対象を複数の視点で 網羅的に評価 実際の評価や再実験の実施 •

    認証手法とパスワード[2] • マルウェア実験のデザイン[12] • Androidマルウェア解析[13] • 埋め込み医療デバイス[24] • 自動化ソフトウェア[25] • 投票プライバシー[27] • セキュアメッセージング[28] • CAPTCHA[5] • Androidマルウェア解析[13] • データ削除[20] • P2Pボットネット[21] • パッカー[26] • 検閲回避[30] • Androidアプリ開発[32] • 電話スパム[33] • ネットワークプリンタ[35] • 暗号保護DB検索[36] • 家庭用IoT機器[42] • サニタイジング[43] • 検閲回避[30] • バイナリ解析[34] • ネットワークプリンタ[35] • 秘密計算コンパイラ[40] • 家庭用IoT機器[42]

15. The quest to replace passwords: A framework for comparative evaluation

    of web authentication schemes（IEEE S&P 2012） 2019/7/24 セキュリティサマーサミット2019 in 高知 14 パスワードからなぜ移行できないか？を調査・分析 • 従来: UsabilityとSecurity – トレードオフの関係にあると言われてきていた • 単純な線形（直線？）の関係ではない • 第3の軸の導入：Deployability (配置容易性、入れやすさ)

16. 2019/7/24 セキュリティサマーサミット2019 in 高知 15 Benefit: その項目のBenefitを 提供するか •：提供する ◦：ほとんど提供する

    空欄：提供しない Better than Password: パス ワードより良いか 緑斜線：良い 赤斜線：悪い 空欄：同じ

17. SoK: Security Evaluation of Home-Based IoT Deployments（IEEE S&P 2019） 2019/7/24

    セキュリティサマーサミット2019 in 高知 16 IoTデバイスは従来のコンピューティングの延長 埋め込み機器 モバイル コンピューターネットワーク 従来にない課題 「埋め込みデバイス上の 過剰に権限のあるモバイルアプリの効果」 本論文の内容 Home（家庭） IoTデバイスに対する攻撃、緩和策、ステークホルダーの整理 45のデバイスに対する上記整理法に基づいた評価 評価データの公開

18. 2019/7/24 セキュリティサマーサミット2019 in 高知 17

19. 2019/7/24 セキュリティサマーサミット2019 in 高知 18

20. ツールやデータセットの公開 2019/7/24 セキュリティサマーサミット2019 in 高知 19 Marcella Hastings, Brett Hemenway,

    Daniel Noble, and Steve Zdancewic. Sok: General purpose compilers for secure multi-party computation. IEEE S&P 2019 秘密計算コンパイラ[40] https://yourthings.info/ https://github.com/MPC-SoK/frameworks 家庭用IoT機器[42] Omar Alrawi, Chaz Lever, Manos Antonakakis, and Fabian Monrose. SoK: Security evaluation of home-based IoT deployments, IEEE S&P 2019

21. サーベイ論文：ACM Computer Surveys（CSUR） 2019/7/24 セキュリティサマーサミット2019 in 高知 20 サーベイ論文に求められる要件（Author Guideline）

    詳細な記載はない サーベイ論文を評価する（Reviewer Guideline） 技術的な品質が高い Technical quality is high 研究や実践における重要分野との関連性が高い Relevance to significant areas of research or practice is high 一般の関心度が高い The level of general interest is high プレゼンテーションが効果的である The presentation is effective

22. ACM CSUR論文とS&P SoK論文の比較 2019/7/24 セキュリティサマーサミット2019 in 高知 21 ページ数 参考文献数

    ACM CSUR 35.2 131.7 IEEE S&P SoK 16.7 81.9

23. まとめ 2019/7/24 セキュリティサマーサミット2019 in 高知 22 SoK論文とは • 単なるサーベイではない •

    既存の知識の評価、体系化、文脈による解釈 • 確立された領域に新たな洞察、再評価 • 新たな分類法 SoK論文の傾向 • IEEE S&Pでの発表が多い（42/54＝77.8%） • サーベイ・新分類モノと、（再）評価モノで大別される