Slide 1

Slide 1 text

セキュリティとプライバシーに 求められるユーザビリティ 金岡 晃 2019年6月15日

Slide 2

Slide 2 text

自己紹介:金岡 晃(かなおか あきら) 2019/6/15 ISACA名古屋支部特別講演会 1 東邦大学 理学部 情報科学科 准教授 専門分野 • セキュリティとプライバシのユーザビリティ • 暗号実装・応用 • IDベース暗号、検索可能暗号、秘密計算のシステム実 装と運用 • モバイルセキュリティ • Androidのセキュリティ • その他 • BGP関連のセキュリティ • Webサーバ証明書の冗長化 コンタクト先 • 電子メール:akira.kanaoka AT is.sci.toho-u.ac.jp • Twitter: akirakanaoka • facebook: 金岡晃(Akira Kanaoka)

Slide 3

Slide 3 text

セキュリティと利便性はトレードオフ 2019/6/15 ISACA名古屋支部特別講演会 2 https://scan.netsecurity.ne.jp/article/20 03/04/03/9281.html https://japan.zdnet.com/extra/windows7 _panel_200912/story/0,3800102051,20 404019-5,00.htm 「セキュリティのトレードオフ問題を考える」 「セキュリティと利便性はトレードオフ」 “企業におけるセキュリティ問題はビジネスの一部であり、そこには相反する問題が発生 する。この「トレードオフ」(二律背反)問題は、セキュリティ対策のレベル設定に対 するセキュリティ対策にかかるコストの問題、対策によって損なわれる利 便性、システムの安定性の問題である。” “機密性(セキュリティ)と利便性はトレードオフの関係に あり、すべての情報を機密性の高い領域(セキュリティエリア)におくことで利便性が 失われ、さらには生産性も失われることになりかねません。”

Slide 4

Slide 4 text

利便性 2019/6/15 ISACA名古屋支部特別講演会 3 便利であること。また、便利さの程度。「利便性の向上」「利便性を提供す る」「利便性に優れる」「利便性が高い」 デジタル大辞泉 https://kotobank.jp/word/%E5%88%A9%E4%BE%BF%E6%80%A7-658363 利用する人にとって都合がよいこと。また、その度合。 「 -が高い」 大辞林 https://kotobank.jp/word/%E5%88%A9%E4%BE%BF%E6%80%A7-658363

Slide 5

Slide 5 text

セキュリティとプライバシに対する ユーザビリティ 2019/6/15 ISACA名古屋支部特別講演会 4 トレードオフの存在 ユーザビリティ セキュリティ プライバシ 事例 機密データは特定の役職のみが扱えるようにした 特定役職者が休暇中のときに当該データを利用する必要性が出てきた

Slide 6

Slide 6 text

ユーザビリティとは 2019/6/15 ISACA名古屋支部特別講演会 5 ある製品が、指定された利用者によって、指定された利用の状況下で、指定さ れた目的を達成するために用いられる際の、有効さ、効率及び利用者の満足度 の度合い(JIS Z 8521) 指定された利用者 指定された利用の状況下 指定された目的 有効さ(Effectiveness) 効率(Efficiency) 利用者の満足度(Satisfaction)

Slide 7

Slide 7 text

ユーザビリティ:Jakob Nielsenによる定義 2019/6/15 ISACA名古屋支部特別講演会 6 Usability is a quality attribute that assesses how easy user interfaces are to use. The word "usability" also refers to methods for improving ease-of-use during the design process. “ユーザビリティとは、質的な属性である。その質的な属性はユーザーインタ フェースがどれほど簡単に利用できるかを測る。「ユーザビリティ」という言 葉は、デザイン工程における利用しやすさ(ease-of-use)改善のための方法 としても使われる。” https://www.nngroup.com/articles/usability-101-introduction-to-usability/

Slide 8

Slide 8 text

ユーザビリティを定義する5つのコンポーネント 2019/6/15 ISACA名古屋支部特別講演会 7 Learnability(学習しやすさ) Efficiency(効率) Memorability(記憶しやすさ) Errors(エラー) Satisfaction(満足) そのデザインに最初に出会ったときに基本的なタスクをユーザーが達成するのに どれくらい簡単であるか そのデザインを1度覚えたら、ユーザーはどれほど素早くタスクを実施できるか 利用しない期間がある程度過ぎたあとにそのデザインに戻ってきたとき、 どれくらい簡単に習熟性を再確立できるか ユーザーはどれくらいの数のエラーをし、それらのエラーがどれくらい重大で、 それらのエラーからの回復がどれほど簡単か そのデザインを利用するのにどれほど快適(pleasant)か

Slide 9

Slide 9 text

目的≠ セキュリティ担保・プライバシ保護 トレードオフ 2019/6/15 ISACA名古屋支部特別講演会 8 指定された利用者 指定された利用の状況下 指定された目的 有効さ 効率 利用者の満足度 セキュリティ・プライバシー の対策によりそれぞれ下がる

Slide 10

Slide 10 text

Google Chromeのアプローチ(1)<2015年> 2019/6/15 ISACA名古屋支部特別講演会 9 • よりよいビジュアル表示 • 覚えるセキュリティ状態を少なくすることができる

Slide 11

Slide 11 text

Google Chromeのアプローチ(2) 2019/6/15 ISACA名古屋支部特別講演会 10 Chrome 37以降 Chrome 36

Slide 12

Slide 12 text

ユーザブルセキュリティ 2019/6/15 ISACA名古屋支部特別講演会 11 目的 利用者 環境 機能要件 非機能要件 運用・保守性 可用性 拡張性 セキュリティ ユーザビリティ • 学習しやすさ • 効率 • 記憶しやすさ • エラー • 満足 • … • … • ユーザビリティ (ユーザブルセキュリティ) • … それ自身が高いユーザビリティを持っている セキュリティ技術やプロセス。

Slide 13

Slide 13 text

“WHY JOHNNY CAN’T ENCRYPT: A USABILITY EVALUATION OF PGP 5.0” A. Whitten, J.D. Tygar, USENIX Security ‘99, 1999 2019/6/15 ISACA名古屋支部特別講演会 12 https://www.usenix.org/conference/8th-usenix-security-symposium/why-johnny-cant-encrypt-usability-evaluation-pgp-50

Slide 14

Slide 14 text

“Why Johnny Can’t Encrypt: A Usability Evaluation of PGP 5.0” 2019/6/15 ISACA名古屋支部特別講演会 13 A. Whitten, J.D. Tygar, USENIX Security ‘99, 1999 “コンピュータセキュリティに関するものを実行しようとして起きる失敗は、ユー ザがエラーを起こすという点が大きい。 その中でもセキュリティのためのユーザインタフェースは扱いにくく、混乱を招い たり、ともすれば存在さえしていない” セキュリティには標準とは異なるユーザインタフェース が必要であり、 他のユーザインタフェースでは解決できない

Slide 15

Slide 15 text

“Why Johnny Can’t Encrypt: A Usability Evaluation of PGP 5.0” セキュリティにおけるユーザビリティ 2019/6/15 ISACA名古屋支部特別講演会 14 利用者がやるべきセキュリティの作業を確かに (reliably) 認識する 利用者がそれらの作業をうまく (successfully) 実施する方法を理解可能である 利用者が危険なエラーを起こさない 利用者がそのインタフェースを継続して使うことを十分に快適に感じる (comfortable)

Slide 16

Slide 16 text

Usable Security / Usable Privacyの難しさ 2019/6/15 ISACA名古屋支部特別講演会 15 Webサイトのユーザビリティ セキュリティの実現とプライバシの保護 Webサイトの本来の目的を達成するためのユーザビリティ • サービス(Webサイト等)の本来目的ではなく、要素の1つ • 第3者(悪意のある・なしを問わず)の存在から守られなければな らない • しかしこの要素は時に本来目的を阻害することもある 合わせて考える 本来目的を阻害せず、SecurityとPrivacyの 高いユーザビリティを実現

Slide 17

Slide 17 text

Usable Security & Privacy研究の流れ 2019/6/15 ISACA名古屋支部特別講演会 16 • ユーザってこういうパスワードを付 けてしまいがち • ユーザってこういう情報が付与され ていると強いパスワードをつけがち 人間の行動原理 • セキュリティ+ユーザビリティの文脈では、未知の部分が多い • 新しい世界と文化 • 例:「スマホをみんなが持ちました。スマホ持ったユーザっ て移動中に何をする?」 解決のフロー ユーザの行動原理の認識、把握 行動原理を応用した 高いユーザビリティの実現 パスワードのケース では「こういう情報」を効果的に配置 しましょう

Slide 18

Slide 18 text

Usable Security & Privacy研究の分野紹介 2019/6/15 ISACA名古屋支部特別講演会 17 パスワード きれいな形で「行動原理把握」と「それを応用した高いユーザビリティ の実現」が行われている分野 Weirら@ CCS2010 原理把握 Kelleyら@S&P 2012 応用 Urら@SEC 2012 応用 Liら@SEC 2014 原理把握 Zhangら@CCS2010 原理把握 Washら@SOUPS2016 原理把握 NIST SP 800-63-3

Slide 19

Slide 19 text

Weirら@CCS2010 2019/6/15 ISACA名古屋支部特別講演会 18 Matt Weir (Florida State Univ.) , Sudhir Aggarwal (Florida State Univ.) , Michael Collins (Redjack ) , Henry Stern (Cisco), “Testing Metrics for Password Creation Policies by Attacking Large Sets of Revealed Passwords” RockYouの3200万件パス ワード漏えい(2009) 徹底した分析 頻出パスワード 記号の出現パターン 数字の出現パターン 大文字・小文字の出現パターン 分析結果を応用した推測攻 撃の高度化 NIST SP 800-63が示すエントロ ピーとの差 http://www.cs.umd.edu/~jkatz/security/downloads/passwords_revealed-weir.pdf

Slide 20

Slide 20 text

Kelleyら@S&P2012 2019/6/15 ISACA名古屋支部特別講演会 19 Patrick Gage Kelley, Saranga Komanduri, Michelle L. Mazurek, Richard Shay, Tim Vidas, Lujo Bauer, Nicolas Christin, Lorrie Faith Cranor, and Julio Lopez (Carnegie Mellon University), “Guess again (and again and again): Measuring password strength by simulating password-cracking algorithms” パスワードの構成ポリシの 効果についての分析 効果測定として推測攻撃を 実際に実施 basec8survey 最低8文字 basic8 最低8文字 basic16 最低16文字 dictionary8 最低8文字+辞書に含まれる用語を含まない (アルファベット以外を除いて、辞書と照合。 Ignore case。) comprehensive8 最低8文字+辞書×+大文字・小文字含む+ 記号含む+数字含む blacklistEasy 最低8文字+Unix辞書と照合(アルファベッ ト除かない) blacklistMedium 最低8文字+Openwall listと照合 blacklistHard 最低8文字+500億語辞書(Weirによるアルゴ リズム利用) https://www.archive.ece.cmu.edu/~lbauer/papers/2012/oakland2012-guessing.pdf

Slide 21

Slide 21 text

ポリシ設定の差による強度変化 2019/6/15 ISACA名古屋支部特別講演会 20 comprehensive8 comprehensive Subset 記号・数字・大文字小 文字混合ポリシにより 作成されたパスワード 群 他のポリシだが、結果 的にcomprehensive8 のポリシを満たしてい るパスワード群 推測回数 推測成功率 推測回数 推測成功率

Slide 22

Slide 22 text

NIST SP 800-63(当時)の予測との差 2019/6/15 ISACA名古屋支部特別講演会 21 推測回数 推測成功率 実験から得 られた推測 情報量 NISTが示し ている情報 量

Slide 23

Slide 23 text

Urら@SEC2012 2019/6/15 ISACA名古屋支部特別講演会 22 Blase Ur, Patrick Gage Kelley, Saranga Komanduri, Joel Lee, Michael Maass, Michelle L. Mazurek, Timothy Passaro, Richard Shay, Timothy Vidas, Lujo Bauer, Nicolas Christin, and Lorrie Faith Cranor (Carnegie Mellon University), “How Does Your Password Measure Up? The Effect of Strength Meters on Password Creation” パスワード強度メータの効 果についての分析 効果測定として推測攻撃を 実際に実施 Control Conditions No Meter Baseline meter Conditions Differing in Appearance Three-segment Green Tiny Huge No suggestions Text-only Conditions Differing in Scoring Half-score One-third-score Nudge-16 Nudge-comp8 Conditions Differing in Multiple Ways Text-only half-score Bold text-only half-score Bunny https://www.usenix.org/conference/usenixsecurity12/technical-sessions/presentation/ur

Slide 24

Slide 24 text

Urら@SEC2012 2019/6/15 ISACA名古屋支部特別講演会 23 https://www.usenix.org/sites/default/files/conference/protected-files/ur_usenixsec12_slides.pdf

Slide 25

Slide 25 text

メータ種類による推測攻撃への耐性 2019/6/15 ISACA名古屋支部特別講演会 24 推測回数 推測成功率

Slide 26

Slide 26 text

Zhangら@CCS2010 2019/6/15 ISACA名古屋支部特別講演会 25 Yinqian Zhang, Fabian Monrose, Michael K. Reiter (Univ. of North Carolina at Chapel Hill), “The Security of Modern Password Expiration: An Algorithmic Framework and Empirical Analysis” パスワード定期変更強制に おけるユーザの行動調査 変換パターンを分類し、パ ターンの状態遷移を分析 状態遷移 • 予想されているより失効の効果は弱いことが判明 • 特定タイプの変換は同一ユーザが繰り返す可能性が高い 結果 http://cs.unc.edu/~fabian/papers/PasswordExpire.pdf

Slide 27

Slide 27 text

Washら@SOUPS2016 2019/6/15 ISACA名古屋支部特別講演会 26 Rick Wash and Emilee Rader (Michigan State University), Ruthie Berman (Macalester College), Zac Wellmer (Michigan State University), “Understanding Password Choices: How Frequently Entered Passwords Are Re-used across Websites” パスワードの再利用調査 134人のユーザを6週間追 跡調査 • 1.7-3.4の異なるサイトでパスワードを使いまわしている • 難しいパスワードを再利用 • 良く利用するサイトほど再利用多い 結果 https://www.usenix.org/conference/soups2016/technical-sessions/presentation/wash

Slide 28

Slide 28 text

Usable Security & Privacy研究の分野紹介 2019/6/15 ISACA名古屋支部特別講演会 27 ブラウザUI サーバ証明書の状態表示 フィッシングサイトの警告 悪意のあるソフトウェア配布サイトの警告 Googleが熱心・活発

Slide 29

Slide 29 text

2019/6/15 ISACA名古屋支部特別講演会 28 Google Chrome Microsoft Internet Explorer Mozilla Firefox

Slide 30

Slide 30 text

表示の違い(Google Chrome) 2019/6/15 ISACA名古屋支部特別講演会 29 普通の 証明書 HTTPSなし EV証明書 問題のある 証明書

Slide 31

Slide 31 text

問題のある証明書 2019/6/15 ISACA名古屋支部特別講演会 30 Google Chrome

Slide 32

Slide 32 text

問題のある証明書 2019/6/15 ISACA名古屋支部特別講演会 31 Microsoft Internet Explorer

Slide 33

Slide 33 text

問題のある証明書 2019/6/15 ISACA名古屋支部特別講演会 32 Mozilla Firefox

Slide 34

Slide 34 text

フィッシングに関する表示 2019/6/15 ISACA名古屋支部特別講演会 33 Google Chrome

Slide 35

Slide 35 text

悪意のあるソフトウェアに関する表示 2019/6/15 ISACA名古屋支部特別講演会 34 Google Chrome

Slide 36

Slide 36 text

Google Chromeのアプローチ(1)<2015年> 2019/6/15 ISACA名古屋支部特別講演会 35 • よりよいビジュアル表示 • 覚えるセキュリティ状態を少なくすることができる https://security.googleblog.com/2015/10/simplifying-page-security-icon-in-chrome.html

Slide 37

Slide 37 text

Google Chromeのアプローチ(2) 2019/6/15 ISACA名古屋支部特別講演会 36 Chrome 37以降 Chrome 36

Slide 38

Slide 38 text

証明書に不備がある場合(Chrome 36) 2019/6/15 ISACA名古屋支部特別講演会 37

Slide 39

Slide 39 text

証明書に不備がある場合(Chrome 37以降) 2019/6/15 ISACA名古屋支部特別講演会 38

Slide 40

Slide 40 text

Google Chromeのアプローチ(2) 2019/6/15 ISACA名古屋支部特別講演会 39 用語を簡単にした • 中学3年生が知っている単語だけを使った文章構成 • SMOGインデックス:文章の読みやすさの指標 色使いを変えた • 警告画面には赤が最適 • より強い警告である「フィッシング」「悪意のあるソフトウェ ア」との区別が必要 • ANSIは赤に次ぐ色としてオレンジと黄色を推奨 • オレンジはアクセシビリティが低い • 黄色は実際にけがをするなどのケースで使われる • 赤いアイコンとグレーの背景 具体的なキーワードを入れた • 利用者に身近なキーワード(パスワード、クレジットカード)を入れた https://ai.google/research/pubs/pub43265

Slide 41

Slide 41 text

RETHINKING CONNECTION SECURITY INDICATORS Adrienne Porter Felt, Robert W. Reeder, Alex Ainslie, Helen Harris, Max Walker (Google), Christopher Thompson (University of California, Berkeley), Mustafa Embre Acer, Elisabeth Morant, Sunny Consolvo (Google) 2019/6/15 ISACA名古屋支部特別講演会 40 https://www.usenix.org/conference/soups2016/technical-sessions/presentation/porter-felt

Slide 42

Slide 42 text

2019/6/15 ISACA名古屋支部特別講演会 41 現状 候補 アイコン 提案 アイコン

Slide 43

Slide 43 text

Usable Security & Privacy研究の流れ 2019/6/15 ISACA名古屋支部特別講演会 42 人間の行動原理 • セキュリティ+ユーザビリティの文脈では、未知の部分が多い • 新しい世界と文化 • 例:「スマホをみんなが持ちました。スマホ持ったユーザっ て移動中に何をする?」 解決のフロー ユーザの行動原理の認識、把握 行動原理を応用した 高いユーザビリティの実現 パスワードのケース では「こういう情報」を効果的に配置 しましょう • ユーザってこういうパスワードを付 けてしまいがち • ユーザってこういう情報が付与され ていると強いパスワードをつけがち

Slide 44

Slide 44 text

利用者の行動原理の調査 2019/6/15 ISACA名古屋支部特別講演会 43 メンタルモデル 外界の現実を仮説的に説明するべく構築された内的な記号または表現 認識と意思決定において重要な役割

Slide 45

Slide 45 text

メンタルモデルの調査 2019/6/15 ISACA名古屋支部特別講演会 44 Kang, et al@SOUPS2015 Ruogu Kang, Laura Dabbish, Nathaniel Fruchter, and Sara Kiesler (Carnegie Mellon University), ““My Data Just Goes Everywhere:” User Mental Models of the Internet and Implications for Privacy and Security” インターネットに関する知識と、 プライバシ・セキュリティの行動の関係性 https://www.usenix.org/conference/soups2015/proceedings/presentation/kang

Slide 46

Slide 46 text

メンタルモデルの調査 2019/6/15 ISACA名古屋支部特別講演会 45 Zeng et. al@SOUPS2017 Eric Zeng, Shrirang Mare, and Franziska Roesner (University of Washington), “End User Security and Privacy Concerns with Smart Homes” https://www.usenix.org/conference/soups2017/technical-sessions/presentation/zeng スマートホーム機器とセキュリティ・プライバ シについての理解、姿勢、振る舞い

Slide 47

Slide 47 text

メンタルモデルの調査 2019/6/15 ISACA名古屋支部特別講演会 46 Wu, et. al@SOUPS2018 Justin Wu and Daniel Zappala (Brigham Young University), “When is a Tree Really a Truck? Exploring Mental Models of Encryption” https://www.usenix.org/conference/soups2018/presentation/wu 暗号の技術、機能、認識

Slide 48

Slide 48 text

高い効果と副作用 2019/6/15 ISACA名古屋支部特別講演会 47

Slide 49

Slide 49 text

USING PERSONAL EXAMPLES TO IMPROVE RISK COMMUNICATION FOR SECURITY AND PRIVACY DECISIONS Marian Harbach, Markus Hettig, SusanneWeber, Matthew Smith@CHI ‘14 2019/6/15 ISACA名古屋支部特別講演会 48 https://www.chi.uni-hannover.de/uploads/tx_tkpublikationen/android-permissions-chi.pdf

Slide 50

Slide 50 text

パーミッションの効果的な表示 2019/6/15 ISACA名古屋支部特別講演会 49 権限を許可することでアクセスが許可される情報を表示 https://www.youtube.com/watch?v=80fpttZQmL0

Slide 51

Slide 51 text

2019/6/15 ISACA名古屋支部特別講演会 50 (効果があるが故に)注意深くなりネガティブな効果となる “The online study also suggests that communicating risk to users with examples created more awareness in participants and instilled a negative affect which caused them to pay more attention to the permissions. “

Slide 52

Slide 52 text

焦点を特定ユーザーへ 2019/6/15 ISACA名古屋支部特別講演会 51

Slide 53

Slide 53 text

• Androidアプリへのパーミッション付与 • サービスのプライバシーポリシー表示 • ブラウザの表示 • 暗号の利用 • 認証画面UI • … 焦点を特定ユーザーへ 2019/6/15 ISACA名古屋支部特別講演会 52 一般のエンドユーザー向け調査・提案技術 特定のユーザーにも適用可能なのか? 子供の保護者 子供 高齢者 銀行員 企業の被雇用者 SOCオペレーター 国・地域

Slide 54

Slide 54 text

特定のユーザーに焦点を当てた認証の実態調査 2019/6/15 ISACA名古屋支部特別講演会 53 視覚障害者:Dosono@SOUPS2015 Bryan Dosono, Jordan Hayes, and Yang Wang (Syracuse University), ““I’m Stuck!”: A Contextual Inquiry of People with Visual Impairments in Authentication” 視覚障害者に対するWeb やPCのログイン認証の ユーザビリティ調査 • タスク未完了が多発 • 常時ログインが普通 • サポートツールとWeb技術発展のアンバランスさ 結果 コンピュータへのログイン 電子メールアカウントへのログイン オンラインバンキングあるいは電子 商取引サイトへのログイン SNSへのログイン スマートフォンへのログイン 原因分析 https://www.usenix.org/conference/soups2015/proceedings/presentation/dosono

Slide 55

Slide 55 text

一般利用者(エンドユーザ)だけでなく 開発者に向けたアクション 2019/6/15 ISACA名古屋支部特別講演会 54 ユーザー行動原理把握 Y. Acer, M. Backes, S. Fahl, D. Kim, M. Mazurek, C. Stransky, “You Get Where You’re Looking For: The Impact Of Information Sources On Code Security”, 2016 IEEE Symp. On Security and Privacy (SP ‘16) • 開発者はStackOverflowやGitHubなどにあるコードを利用する傾向 • 参照元のコードが脆弱なコードであることがある ユーザー支援ツール開発 D.C. Nguyen, D. Wermke, Y. Acar, M. Backes, C. Weir, and S. Fahl, “Stitch in Time: Supporting Android Developers in WritingSecure Code”, ACM CCS 2017 • 脆弱なコードパターンをDB化 • IDEのプラグインで脆弱なつくりになる部分を指摘→修正候補の表示 https://www.cs.umd.edu/~doowon/paper/so_oakland16.pdf https://acmccs.github.io/papers/p1065-nguyenA.pdf

Slide 56

Slide 56 text

SSL/TLS関連の設定不備 2018/10/15 55 Fahlら@ AsiaCCS2014 Sascha Fahl, Yasemin Acar, Henning Perl, Matthew Smith, “Why Eve and Mallory (Also) Love Webmasters: A Study on the Root Causes of SSL Misconfigurations”, AsiaCCS 2014 Web管理者が、その証明書はブラウザで検証が通らないことがわかっている にも関わらず使っているケースがある。それはどうしてなのか。それを調査 した。 証明書 収集 検証失敗 証明書 抽出 管理者に コンタクト ヒアリング 330/495が 「意図的に利用」 主原因:それでもユーザ はアクセスする CSS2018 https://saschafahl.de/static/paper/webmasters2014.pdf

Slide 57

Slide 57 text

流動的な世界 2019/6/15 ISACA名古屋支部特別講演会 56

Slide 58

Slide 58 text

“An Inconvenient Trust: User Attitudes toward Security and Usability Tradeoffs for Key-Directory Encryption Systems” 2019/6/15 ISACA名古屋支部特別講演会 57 Wei Bai, Doowon Kim, Moses Namara, and Yichen Qian, University of Maryland, College Park; Patrick Gage Kelley, University of New Mexico; Michelle L. Mazurek, University of Maryland, College Park 重要な通信が覗き見られる危険性に対してEnd-to-End暗号化が重要視されてきて る。AppleやGoogleのサービスは広く使われている。その裏では、使いやすさのた めに鍵管理にKey-Directoryサービスを適用している。Key Directoryはセキュリ ティを犠牲にしているともいえる。ユーザはそれをどう考えているか。 被験者にインタビューの結果、一般的な利用者はKeyDirectoryのような登録モデル で日常ユースは問題ないと感じていることが分かった。 ユーザの行動原理の認識、把握 https://www.usenix.org/conference/soups2016/technical-sessions/presentation/bai

Slide 59

Slide 59 text

透過性/ランダムな文字列表示の有無 2019/6/15 ISACA名古屋支部特別講演会 58 Ruotiら(2013年) Fahlら(2014年) 電子メールの暗号化において、ランダムな文字列表示をする(=透過的に しない)ことでユーザーの信頼性があがることを示した。 メッセージの暗号化において、ランダムな文字列を表示することで、暗号 化していることを認識させることに成功した Baiら(2016年) メッセージの暗号化において、透過的に暗号化をしても利用者は混乱せず に利用できていることを示した

Slide 60

Slide 60 text

信頼(トラスト) 2019/6/15 ISACA名古屋支部特別講演会 59

Slide 61

Slide 61 text

ユーザビリティとは 2019/6/15 ISACA名古屋支部特別講演会 60 ある製品が、指定された利用者によって、指定された利用の状況下で、指定さ れた目的を達成するために用いられる際の、有効さ、効率及び利用者の満足度 の度合い(JIS Z 8521) 指定された利用者 指定された利用の状況下 指定された目的 有効さ(Effectiveness) 効率(Efficiency) 利用者の満足度(Satisfaction) 信頼(トラスト)が影響してくるのでは

Slide 62

Slide 62 text

ユーザビリティを定義する5つのコンポーネント 2019/6/15 ISACA名古屋支部特別講演会 61 Learnability(学習しやすさ) Efficiency(効率) Memorability(記憶しやすさ) Errors(エラー) Satisfaction(満足) • そのデザインに最初に出会ったときに基本的なタスクをユーザが達成するのに どれくらい簡単であるか • そのデザインを1度覚えたら、ユーザはどれほど素早くタスクを実施できるか • 利用しない期間がある程度過ぎたあとにそのデザインに戻ってきたとき、どれ くらい簡単に習熟性を再確立できるか • ユーザはどれくらいの数のエラーをし、それらのエラーがどれくらい重大で、 それらのエラーからの回復がどれほど簡単か • そのデザインを利用するのにどれほど快適(pleasant)か 信頼(トラスト)が影響してくるのでは

Slide 63

Slide 63 text

信頼(トラスト)の持つ機能 2019/6/15 ISACA名古屋支部特別講演会 62 事態を認識するうえでの複雑性や不確実性を低減して みずからの判断を形成する機能 中谷内 他、”リスクの社会心理学”, 2012 その個人が十分な知識を持っていないと自覚し、それでも直面する 問題に対して何らかの方針を決めたいという場合に、「信頼」の機 能が最も重要になる

Slide 64

Slide 64 text

信頼とは 2019/6/15 ISACA名古屋支部特別講演会 63 ルソーら@1998を中心に先行研究の共通部分をまとめたもの 相手の行為しだいで被害を被る危険性も、よい結果が得られる可能性もあると いう状況の中で、よい結果が得られるだろうと期待して、被害を被りうる (vulnerable)立場に身を置こうという心理的な状態 中谷内 他、”リスクの社会心理学”, 2012

Slide 65

Slide 65 text

信頼の構成要因 2019/6/15 ISACA名古屋支部特別講演会 64 • 複数要素(多元性)があるという認識が一般的 • 多くて5つ程度 • 「能力に対する期待」がそのうちの1つの要素として安定して見いだされる バーバー、1983 「技術的能力への期待」「受託責任を果たすことへの期待」 メイヤーら、1995 「能力認知」「誠実さ認知」「相手への善意の認知」 カスパーソン、1986 「能力」「配慮」「予測可能性」「目的に向けてのコミットメント」 中谷内 他、”リスクの社会心理学”, 2012

Slide 66

Slide 66 text

信頼の構成要因 2019/6/15 ISACA名古屋支部特別講演会 65 ピータースら、1997 「知識と専門性」「開放性と正直さ」「相手への関心と配慮」 メトレイら、1999 「能力要素についての評価」「感情的要素についての評価」 ジョンソン、1999 「能力」「配慮」 おおよその同意 • 信頼は複数要素から構成 • そのうちの1つは能力認知。主に過去の実績に基づいて評価。 • 「人柄」該当要素も信頼を規定するが、複数に分けられることもある • その場合、リスク管理者そのものの評価(正直、誠実など)とこちら との関係性の評価(配慮、善意)に分けられる 中谷内 他、”リスクの社会心理学”, 2012

Slide 67

Slide 67 text

A BRICK WALL, A LOCKED DOOR, AND A BANDIT: A PHYSICAL SECURITY METAPHOR FOR FIREWALL Fahimeh Raja, Kai-le Clement Wang, Kirstie Hawkey, Konstantin Beznosov, Steven Hsu 2019/6/15 ISACA名古屋支部特別講演会 66 https://cups.cs.cmu.edu/soups/2011/proceedings/a1_Raja.pdf

Slide 68

Slide 68 text

パーソナルファイアウォール表示 2019/6/15 ISACA名古屋支部特別講演会 67 元の表示 • S:安全(Safe) • U:不明(Unrecognized) • M:悪意のあるソフト(Malicious) 表示の改良

Slide 69

Slide 69 text

パーソナルファイアウォール表示 2019/6/15 ISACA名古屋支部特別講演会 68 物理セキュリティの比喩を用いた表示 比喩の有効性を提示 SOUPS2011論文読破会 における議論 文化的背景により効果が 違うのでは、という指摘 縞模様=囚人=犯罪者という図式は 欧米のものであり、日本では異なる

Slide 70

Slide 70 text

• 相手の認証(大半の利用はサーバ認証だけ) • 利用する暗号技術の選択 • セッション鍵生成 SSL/TLSとPKIの信頼 2019/6/15 ISACA名古屋支部特別講演会 69 Secure Socket Layer(SSL) Transport Layer Security(TLS) • PKIの最大のアプリケーション • 通信路の暗号化、通信相手の認証、受信メッセージの認証などの機能を持つ TLSネゴシエーション

Slide 71

Slide 71 text

いくつかの暗号技術の紹介:PKI 2019/6/15 ISACA名古屋支部特別講演会 70 認証局(CA)の信頼 ブラウザーやOSがあらかじめ信頼できる認証局のリストを持っている (トラストリストモデル) 証明書の有効性 • CAは証明書発行時に有効期限を設定する • 利用者が鍵の紛失や漏洩などをした場合、証明書を無効とする(失効) 利用者側が行う確認 • 証明書が信頼できるCAから発行されているか • 証明書に記載されている情報に間違いがないか(Webサーバー証明書の場 合、アクセス先のホスト名と同じ名前が書いてあるか) • 有効期限 • 失効

Slide 72

Slide 72 text

信頼が揺らぐとき 2019/6/15 ISACA名古屋支部特別講演会 71 認証局が攻撃を受ける 2011年、オランダの半官半民ルート認証局DigiNotorに対する不正事件と 500枚超に及ぶ証明書の不正発行 認証局が悪意を持って行動する CNNIC事件 • 2015年、CNNICのルート認証局下でエジプトの中間 認証局自身が証明書の不正発行 WoSign事件 • 2016年、偽物の証明書を大量に発行 • サブドメイン保持者がメインドメインの証明書発行 が可能に • イスラエルのStartComを買収したが所有権変更を明 かさなかった

Slide 73

Slide 73 text

まとめ 2019/6/15 ISACA名古屋支部特別講演会 72

Slide 74

Slide 74 text

Usable Security / Usable Privacyの難しさ Webサイトのユーザビリティ セキュリティの実現とプライバシーの保護 Webサイトの本来の目的を達成するためのユーザビリティ • サービス(Webサイト等)の本来目的ではなく、要素の1つ • 第3者(悪意のある・なしを問わず)の存在から守られなければな らない • しかしこの要素は時に本来目的を阻害することもある 合わせて考える 本来目的を阻害せず、SecurityとPrivacyの 高いユーザビリティを実現 2019/6/15 ISACA名古屋支部特別講演会 73

Slide 75

Slide 75 text

ユーザーの行動原理の認識、把握 • ユーザーってこういうパスワードを付 けてしまいがち • ユーザーってこういう情報が付与され ていると強いパスワードをつけがち どう実現する? 人間の行動原理 • 未知の部分が多い • 新しい世界、文化 • 例:「スマホをみんなが持ちました。スマホ持ったユーザーって 移動中に何をする?」 解決のフロー 行動原理を応用した 高いユーザビリティの実現 パスワードのケース では「こういう情報」を効果的に配置し ましょう 2019/6/15 ISACA名古屋支部特別講演会 74

Slide 76

Slide 76 text

多くの研究成果:ユーザー行動原理、対策技術 アカデミアを超えて 2019/6/15 ISACA名古屋支部特別講演会 75 アウトリーチ 講演・プレゼン 授業・講義 Web(スライド、ブログ)