セキュリティとプライバシーに求められるユーザビリティ

Slide 1

Slide 1 text

セキュリティとプライバシーに求められるユーザビリティ金岡晃 2019年6月15日

Slide 2

Slide 2 text

自己紹介：金岡晃（かなおかあきら） 2019/6/15 ISACA名古屋支部特別講演会 1 東邦大学理学部情報科学科准教授専門分野 • セキュリティとプライバシのユーザビリティ • 暗号実装・応用 • IDベース暗号、検索可能暗号、秘密計算のシステム実装と運用 • モバイルセキュリティ • Androidのセキュリティ • その他 • BGP関連のセキュリティ • Webサーバ証明書の冗長化コンタクト先 • 電子メール：akira.kanaoka AT is.sci.toho-u.ac.jp • Twitter: akirakanaoka • facebook: 金岡晃（Akira Kanaoka）

Slide 3

Slide 3 text

セキュリティと利便性はトレードオフ 2019/6/15 ISACA名古屋支部特別講演会 2 https://scan.netsecurity.ne.jp/article/20 03/04/03/9281.html https://japan.zdnet.com/extra/windows7 _panel_200912/story/0,3800102051,20 404019-5,00.htm 「セキュリティのトレードオフ問題を考える」「セキュリティと利便性はトレードオフ」 “企業におけるセキュリティ問題はビジネスの一部であり、そこには相反する問題が発生する。この「トレードオフ」（二律背反）問題は、セキュリティ対策のレベル設定に対するセキュリティ対策にかかるコストの問題、対策によって損なわれる利便性、システムの安定性の問題である。” “機密性（セキュリティ）と利便性はトレードオフの関係にあり、すべての情報を機密性の高い領域（セキュリティエリア）におくことで利便性が失われ、さらには生産性も失われることになりかねません。”

Slide 4

Slide 4 text

利便性 2019/6/15 ISACA名古屋支部特別講演会 3 便利であること。また、便利さの程度。「利便性の向上」「利便性を提供する」「利便性に優れる」「利便性が高い」デジタル大辞泉 https://kotobank.jp/word/%E5%88%A9%E4%BE%BF%E6%80%A7-658363 利用する人にとって都合がよいこと。また、その度合。「－が高い」大辞林 https://kotobank.jp/word/%E5%88%A9%E4%BE%BF%E6%80%A7-658363

Slide 5

Slide 5 text

セキュリティとプライバシに対するユーザビリティ 2019/6/15 ISACA名古屋支部特別講演会 4 トレードオフの存在ユーザビリティセキュリティプライバシ事例機密データは特定の役職のみが扱えるようにした特定役職者が休暇中のときに当該データを利用する必要性が出てきた

Slide 6

Slide 6 text

ユーザビリティとは 2019/6/15 ISACA名古屋支部特別講演会 5 ある製品が、指定された利用者によって、指定された利用の状況下で、指定された目的を達成するために用いられる際の、有効さ、効率及び利用者の満足度の度合い（JIS Z 8521）指定された利用者指定された利用の状況下指定された目的有効さ（Effectiveness）効率（Efficiency）利用者の満足度（Satisfaction）

Slide 7

Slide 7 text

ユーザビリティ：Jakob Nielsenによる定義 2019/6/15 ISACA名古屋支部特別講演会 6 Usability is a quality attribute that assesses how easy user interfaces are to use. The word "usability" also refers to methods for improving ease-of-use during the design process. “ユーザビリティとは、質的な属性である。その質的な属性はユーザーインタフェースがどれほど簡単に利用できるかを測る。「ユーザビリティ」という言葉は、デザイン工程における利用しやすさ（ease-of-use）改善のための方法としても使われる。” https://www.nngroup.com/articles/usability-101-introduction-to-usability/

Slide 8

Slide 8 text

ユーザビリティを定義する5つのコンポーネント 2019/6/15 ISACA名古屋支部特別講演会 7 Learnability（学習しやすさ） Efficiency（効率） Memorability（記憶しやすさ） Errors（エラー） Satisfaction（満足）そのデザインに最初に出会ったときに基本的なタスクをユーザーが達成するのにどれくらい簡単であるかそのデザインを1度覚えたら、ユーザーはどれほど素早くタスクを実施できるか利用しない期間がある程度過ぎたあとにそのデザインに戻ってきたとき、どれくらい簡単に習熟性を再確立できるかユーザーはどれくらいの数のエラーをし、それらのエラーがどれくらい重大で、それらのエラーからの回復がどれほど簡単かそのデザインを利用するのにどれほど快適（pleasant）か

Slide 9

Slide 9 text

目的≠ セキュリティ担保・プライバシ保護トレードオフ 2019/6/15 ISACA名古屋支部特別講演会 8 指定された利用者指定された利用の状況下指定された目的有効さ効率利用者の満足度セキュリティ・プライバシーの対策によりそれぞれ下がる

Slide 10

Slide 10 text

Google Chromeのアプローチ（１）＜2015年＞ 2019/6/15 ISACA名古屋支部特別講演会 9 • よりよいビジュアル表示 • 覚えるセキュリティ状態を少なくすることができる

Slide 11

Slide 11 text

Google Chromeのアプローチ（２） 2019/6/15 ISACA名古屋支部特別講演会 10 Chrome 37以降 Chrome 36

Slide 12

Slide 12 text

ユーザブルセキュリティ 2019/6/15 ISACA名古屋支部特別講演会 11 目的利用者環境機能要件非機能要件運用・保守性可用性拡張性セキュリティユーザビリティ • 学習しやすさ • 効率 • 記憶しやすさ • エラー • 満足 • … • … • ユーザビリティ（ユーザブルセキュリティ） • … それ自身が高いユーザビリティを持っているセキュリティ技術やプロセス。

Slide 13

Slide 13 text

“WHY JOHNNY CAN’T ENCRYPT: A USABILITY EVALUATION OF PGP 5.0” A. Whitten, J.D. Tygar, USENIX Security ‘99, 1999 2019/6/15 ISACA名古屋支部特別講演会 12 https://www.usenix.org/conference/8th-usenix-security-symposium/why-johnny-cant-encrypt-usability-evaluation-pgp-50

Slide 14

Slide 14 text

“Why Johnny Can’t Encrypt: A Usability Evaluation of PGP 5.0” 2019/6/15 ISACA名古屋支部特別講演会 13 A. Whitten, J.D. Tygar, USENIX Security ‘99, 1999 “コンピュータセキュリティに関するものを実行しようとして起きる失敗は、ユーザがエラーを起こすという点が大きい。その中でもセキュリティのためのユーザインタフェースは扱いにくく、混乱を招いたり、ともすれば存在さえしていない” セキュリティには標準とは異なるユーザインタフェースが必要であり、他のユーザインタフェースでは解決できない

Slide 15

Slide 15 text

“Why Johnny Can’t Encrypt: A Usability Evaluation of PGP 5.0” セキュリティにおけるユーザビリティ 2019/6/15 ISACA名古屋支部特別講演会 14 利用者がやるべきセキュリティの作業を確かに (reliably) 認識する利用者がそれらの作業をうまく (successfully) 実施する方法を理解可能である利用者が危険なエラーを起こさない利用者がそのインタフェースを継続して使うことを十分に快適に感じる (comfortable)

Slide 16

Slide 16 text

Usable Security / Usable Privacyの難しさ 2019/6/15 ISACA名古屋支部特別講演会 15 Webサイトのユーザビリティセキュリティの実現とプライバシの保護 Webサイトの本来の目的を達成するためのユーザビリティ • サービス（Webサイト等）の本来目的ではなく、要素の1つ • 第3者（悪意のある・なしを問わず）の存在から守られなければならない • しかしこの要素は時に本来目的を阻害することもある合わせて考える本来目的を阻害せず、SecurityとPrivacyの高いユーザビリティを実現

Slide 17

Slide 17 text

Usable Security & Privacy研究の流れ 2019/6/15 ISACA名古屋支部特別講演会 16 • ユーザってこういうパスワードを付けてしまいがち • ユーザってこういう情報が付与されていると強いパスワードをつけがち人間の行動原理 • セキュリティ＋ユーザビリティの文脈では、未知の部分が多い • 新しい世界と文化 • 例：「スマホをみんなが持ちました。スマホ持ったユーザって移動中に何をする？」解決のフローユーザの行動原理の認識、把握行動原理を応用した高いユーザビリティの実現パスワードのケースでは「こういう情報」を効果的に配置しましょう

Slide 18

Slide 18 text

Usable Security & Privacy研究の分野紹介 2019/6/15 ISACA名古屋支部特別講演会 17 パスワードきれいな形で「行動原理把握」と「それを応用した高いユーザビリティの実現」が行われている分野 Weirら＠ CCS2010 原理把握 Kelleyら＠S&P 2012 応用 Urら＠SEC 2012 応用 Liら＠SEC 2014 原理把握 Zhangら＠CCS2010 原理把握 Washら＠SOUPS2016 原理把握 NIST SP 800-63-3

Slide 19

Slide 19 text

Weirら＠CCS2010 2019/6/15 ISACA名古屋支部特別講演会 18 Matt Weir (Florida State Univ.) , Sudhir Aggarwal (Florida State Univ.) , Michael Collins (Redjack ) , Henry Stern (Cisco), “Testing Metrics for Password Creation Policies by Attacking Large Sets of Revealed Passwords” RockYouの3200万件パスワード漏えい（2009）徹底した分析頻出パスワード記号の出現パターン数字の出現パターン大文字・小文字の出現パターン分析結果を応用した推測攻撃の高度化 NIST SP 800-63が示すエントロピーとの差 http://www.cs.umd.edu/~jkatz/security/downloads/passwords_revealed-weir.pdf

Slide 20

Slide 20 text

Kelleyら＠S&P2012 2019/6/15 ISACA名古屋支部特別講演会 19 Patrick Gage Kelley, Saranga Komanduri, Michelle L. Mazurek, Richard Shay, Tim Vidas, Lujo Bauer, Nicolas Christin, Lorrie Faith Cranor, and Julio Lopez (Carnegie Mellon University), “Guess again (and again and again): Measuring password strength by simulating password-cracking algorithms” パスワードの構成ポリシの効果についての分析効果測定として推測攻撃を実際に実施 basec8survey 最低8文字 basic8 最低8文字 basic16 最低16文字 dictionary8 最低8文字＋辞書に含まれる用語を含まない（アルファベット以外を除いて、辞書と照合。 Ignore case。） comprehensive8 最低8文字＋辞書×＋大文字・小文字含む＋記号含む＋数字含む blacklistEasy 最低8文字＋Unix辞書と照合（アルファベット除かない） blacklistMedium 最低8文字＋Openwall listと照合 blacklistHard 最低8文字＋500億語辞書（Weirによるアルゴリズム利用） https://www.archive.ece.cmu.edu/~lbauer/papers/2012/oakland2012-guessing.pdf

Slide 21

Slide 21 text

ポリシ設定の差による強度変化 2019/6/15 ISACA名古屋支部特別講演会 20 comprehensive8 comprehensive Subset 記号・数字・大文字小文字混合ポリシにより作成されたパスワード群他のポリシだが、結果的にcomprehensive8 のポリシを満たしているパスワード群推測回数推測成功率推測回数推測成功率

Slide 22

Slide 22 text

NIST SP 800-63（当時）の予測との差 2019/6/15 ISACA名古屋支部特別講演会 21 推測回数推測成功率実験から得られた推測情報量 NISTが示している情報量

Slide 23

Slide 23 text

Urら＠SEC2012 2019/6/15 ISACA名古屋支部特別講演会 22 Blase Ur, Patrick Gage Kelley, Saranga Komanduri, Joel Lee, Michael Maass, Michelle L. Mazurek, Timothy Passaro, Richard Shay, Timothy Vidas, Lujo Bauer, Nicolas Christin, and Lorrie Faith Cranor (Carnegie Mellon University), “How Does Your Password Measure Up? The Effect of Strength Meters on Password Creation” パスワード強度メータの効果についての分析効果測定として推測攻撃を実際に実施 Control Conditions No Meter Baseline meter Conditions Differing in Appearance Three-segment Green Tiny Huge No suggestions Text-only Conditions Differing in Scoring Half-score One-third-score Nudge-16 Nudge-comp8 Conditions Differing in Multiple Ways Text-only half-score Bold text-only half-score Bunny https://www.usenix.org/conference/usenixsecurity12/technical-sessions/presentation/ur

Slide 24

Slide 24 text

Urら＠SEC2012 2019/6/15 ISACA名古屋支部特別講演会 23 https://www.usenix.org/sites/default/files/conference/protected-files/ur_usenixsec12_slides.pdf

Slide 25

Slide 25 text

メータ種類による推測攻撃への耐性 2019/6/15 ISACA名古屋支部特別講演会 24 推測回数推測成功率

Slide 26

Slide 26 text

Zhangら＠CCS2010 2019/6/15 ISACA名古屋支部特別講演会 25 Yinqian Zhang, Fabian Monrose, Michael K. Reiter (Univ. of North Carolina at Chapel Hill), “The Security of Modern Password Expiration: An Algorithmic Framework and Empirical Analysis” パスワード定期変更強制におけるユーザの行動調査変換パターンを分類し、パターンの状態遷移を分析状態遷移 • 予想されているより失効の効果は弱いことが判明 • 特定タイプの変換は同一ユーザが繰り返す可能性が高い結果 http://cs.unc.edu/~fabian/papers/PasswordExpire.pdf

Slide 27

Slide 27 text

Washら＠SOUPS2016 2019/6/15 ISACA名古屋支部特別講演会 26 Rick Wash and Emilee Rader (Michigan State University), Ruthie Berman (Macalester College), Zac Wellmer (Michigan State University), “Understanding Password Choices: How Frequently Entered Passwords Are Re-used across Websites” パスワードの再利用調査 134人のユーザを6週間追跡調査 • 1.7-3.4の異なるサイトでパスワードを使いまわしている • 難しいパスワードを再利用 • 良く利用するサイトほど再利用多い結果 https://www.usenix.org/conference/soups2016/technical-sessions/presentation/wash

Slide 28

Slide 28 text

Usable Security & Privacy研究の分野紹介 2019/6/15 ISACA名古屋支部特別講演会 27 ブラウザUI サーバ証明書の状態表示フィッシングサイトの警告悪意のあるソフトウェア配布サイトの警告 Googleが熱心・活発

Slide 29

Slide 29 text

2019/6/15 ISACA名古屋支部特別講演会 28 Google Chrome Microsoft Internet Explorer Mozilla Firefox

Slide 30

Slide 30 text

表示の違い（Google Chrome） 2019/6/15 ISACA名古屋支部特別講演会 29 普通の証明書 HTTPSなし EV証明書問題のある証明書

Slide 31

Slide 31 text

問題のある証明書 2019/6/15 ISACA名古屋支部特別講演会 30 Google Chrome

Slide 32

Slide 32 text

問題のある証明書 2019/6/15 ISACA名古屋支部特別講演会 31 Microsoft Internet Explorer

Slide 33

Slide 33 text

問題のある証明書 2019/6/15 ISACA名古屋支部特別講演会 32 Mozilla Firefox

Slide 34

Slide 34 text

フィッシングに関する表示 2019/6/15 ISACA名古屋支部特別講演会 33 Google Chrome

Slide 35

Slide 35 text

悪意のあるソフトウェアに関する表示 2019/6/15 ISACA名古屋支部特別講演会 34 Google Chrome

Slide 36

Slide 36 text

Google Chromeのアプローチ（１）＜2015年＞ 2019/6/15 ISACA名古屋支部特別講演会 35 • よりよいビジュアル表示 • 覚えるセキュリティ状態を少なくすることができる https://security.googleblog.com/2015/10/simplifying-page-security-icon-in-chrome.html

Slide 37

Slide 37 text

Google Chromeのアプローチ（２） 2019/6/15 ISACA名古屋支部特別講演会 36 Chrome 37以降 Chrome 36

Slide 38

Slide 38 text

証明書に不備がある場合（Chrome 36） 2019/6/15 ISACA名古屋支部特別講演会 37

Slide 39

Slide 39 text

証明書に不備がある場合（Chrome 37以降） 2019/6/15 ISACA名古屋支部特別講演会 38

Slide 40

Slide 40 text

Google Chromeのアプローチ（２） 2019/6/15 ISACA名古屋支部特別講演会 39 用語を簡単にした • 中学3年生が知っている単語だけを使った文章構成 • SMOGインデックス：文章の読みやすさの指標色使いを変えた • 警告画面には赤が最適 • より強い警告である「フィッシング」「悪意のあるソフトウェア」との区別が必要 • ANSIは赤に次ぐ色としてオレンジと黄色を推奨 • オレンジはアクセシビリティが低い • 黄色は実際にけがをするなどのケースで使われる • 赤いアイコンとグレーの背景具体的なキーワードを入れた • 利用者に身近なキーワード（パスワード、クレジットカード）を入れた https://ai.google/research/pubs/pub43265

Slide 41

Slide 41 text

RETHINKING CONNECTION SECURITY INDICATORS Adrienne Porter Felt, Robert W. Reeder, Alex Ainslie, Helen Harris, Max Walker (Google), Christopher Thompson (University of California, Berkeley), Mustafa Embre Acer, Elisabeth Morant, Sunny Consolvo (Google) 2019/6/15 ISACA名古屋支部特別講演会 40 https://www.usenix.org/conference/soups2016/technical-sessions/presentation/porter-felt

Slide 42

Slide 42 text

2019/6/15 ISACA名古屋支部特別講演会 41 現状候補アイコン提案アイコン

Slide 43

Slide 43 text

Usable Security & Privacy研究の流れ 2019/6/15 ISACA名古屋支部特別講演会 42 人間の行動原理 • セキュリティ＋ユーザビリティの文脈では、未知の部分が多い • 新しい世界と文化 • 例：「スマホをみんなが持ちました。スマホ持ったユーザって移動中に何をする？」解決のフローユーザの行動原理の認識、把握行動原理を応用した高いユーザビリティの実現パスワードのケースでは「こういう情報」を効果的に配置しましょう • ユーザってこういうパスワードを付けてしまいがち • ユーザってこういう情報が付与されていると強いパスワードをつけがち

Slide 44

Slide 44 text

利用者の行動原理の調査 2019/6/15 ISACA名古屋支部特別講演会 43 メンタルモデル外界の現実を仮説的に説明するべく構築された内的な記号または表現認識と意思決定において重要な役割

Slide 45

Slide 45 text

メンタルモデルの調査 2019/6/15 ISACA名古屋支部特別講演会 44 Kang, et al@SOUPS2015 Ruogu Kang, Laura Dabbish, Nathaniel Fruchter, and Sara Kiesler (Carnegie Mellon University), ““My Data Just Goes Everywhere:” User Mental Models of the Internet and Implications for Privacy and Security” インターネットに関する知識と、プライバシ・セキュリティの行動の関係性 https://www.usenix.org/conference/soups2015/proceedings/presentation/kang

Slide 46

Slide 46 text

メンタルモデルの調査 2019/6/15 ISACA名古屋支部特別講演会 45 Zeng et. al@SOUPS2017 Eric Zeng, Shrirang Mare, and Franziska Roesner (University of Washington), “End User Security and Privacy Concerns with Smart Homes” https://www.usenix.org/conference/soups2017/technical-sessions/presentation/zeng スマートホーム機器とセキュリティ・プライバシについての理解、姿勢、振る舞い

Slide 47

Slide 47 text

メンタルモデルの調査 2019/6/15 ISACA名古屋支部特別講演会 46 Wu, et. al@SOUPS2018 Justin Wu and Daniel Zappala (Brigham Young University), “When is a Tree Really a Truck? Exploring Mental Models of Encryption” https://www.usenix.org/conference/soups2018/presentation/wu 暗号の技術、機能、認識

Slide 48

Slide 48 text

高い効果と副作用 2019/6/15 ISACA名古屋支部特別講演会 47

Slide 49

Slide 49 text

USING PERSONAL EXAMPLES TO IMPROVE RISK COMMUNICATION FOR SECURITY AND PRIVACY DECISIONS Marian Harbach, Markus Hettig, SusanneWeber, Matthew Smith＠CHI ‘14 2019/6/15 ISACA名古屋支部特別講演会 48 https://www.chi.uni-hannover.de/uploads/tx_tkpublikationen/android-permissions-chi.pdf

Slide 50

Slide 50 text

パーミッションの効果的な表示 2019/6/15 ISACA名古屋支部特別講演会 49 権限を許可することでアクセスが許可される情報を表示 https://www.youtube.com/watch?v=80fpttZQmL0

Slide 51

Slide 51 text

2019/6/15 ISACA名古屋支部特別講演会 50 （効果があるが故に）注意深くなりネガティブな効果となる “The online study also suggests that communicating risk to users with examples created more awareness in participants and instilled a negative affect which caused them to pay more attention to the permissions. “

Slide 52

Slide 52 text

焦点を特定ユーザーへ 2019/6/15 ISACA名古屋支部特別講演会 51

Slide 53

Slide 53 text

• Androidアプリへのパーミッション付与 • サービスのプライバシーポリシー表示 • ブラウザの表示 • 暗号の利用 • 認証画面UI • … 焦点を特定ユーザーへ 2019/6/15 ISACA名古屋支部特別講演会 52 一般のエンドユーザー向け調査・提案技術特定のユーザーにも適用可能なのか？子供の保護者子供高齢者銀行員企業の被雇用者 SOCオペレーター国・地域

Slide 54

Slide 54 text

特定のユーザーに焦点を当てた認証の実態調査 2019/6/15 ISACA名古屋支部特別講演会 53 視覚障害者：Dosono@SOUPS2015 Bryan Dosono, Jordan Hayes, and Yang Wang (Syracuse University), ““I’m Stuck!”: A Contextual Inquiry of People with Visual Impairments in Authentication” 視覚障害者に対するWeb やPCのログイン認証のユーザビリティ調査 • タスク未完了が多発 • 常時ログインが普通 • サポートツールとWeb技術発展のアンバランスさ結果コンピュータへのログイン電子メールアカウントへのログインオンラインバンキングあるいは電子商取引サイトへのログイン SNSへのログインスマートフォンへのログイン原因分析 https://www.usenix.org/conference/soups2015/proceedings/presentation/dosono

Slide 55

Slide 55 text

一般利用者（エンドユーザ）だけでなく開発者に向けたアクション 2019/6/15 ISACA名古屋支部特別講演会 54 ユーザー行動原理把握 Y. Acer, M. Backes, S. Fahl, D. Kim, M. Mazurek, C. Stransky, “You Get Where You’re Looking For: The Impact Of Information Sources On Code Security”, 2016 IEEE Symp. On Security and Privacy (SP ‘16) • 開発者はStackOverflowやGitHubなどにあるコードを利用する傾向 • 参照元のコードが脆弱なコードであることがあるユーザー支援ツール開発 D.C. Nguyen, D. Wermke, Y. Acar, M. Backes, C. Weir, and S. Fahl, “Stitch in Time: Supporting Android Developers in WritingSecure Code”, ACM CCS 2017 • 脆弱なコードパターンをDB化 • IDEのプラグインで脆弱なつくりになる部分を指摘→修正候補の表示 https://www.cs.umd.edu/~doowon/paper/so_oakland16.pdf https://acmccs.github.io/papers/p1065-nguyenA.pdf

Slide 56

Slide 56 text

SSL/TLS関連の設定不備 2018/10/15 55 Fahlら＠ AsiaCCS2014 Sascha Fahl, Yasemin Acar, Henning Perl, Matthew Smith, “Why Eve and Mallory (Also) Love Webmasters: A Study on the Root Causes of SSL Misconfigurations”, AsiaCCS 2014 Web管理者が、その証明書はブラウザで検証が通らないことがわかっているにも関わらず使っているケースがある。それはどうしてなのか。それを調査した。証明書収集検証失敗証明書抽出管理者にコンタクトヒアリング 330/495が「意図的に利用」主原因：それでもユーザはアクセスする CSS2018 https://saschafahl.de/static/paper/webmasters2014.pdf

Slide 57

Slide 57 text

流動的な世界 2019/6/15 ISACA名古屋支部特別講演会 56

Slide 58

Slide 58 text

“An Inconvenient Trust: User Attitudes toward Security and Usability Tradeoffs for Key-Directory Encryption Systems” 2019/6/15 ISACA名古屋支部特別講演会 57 Wei Bai, Doowon Kim, Moses Namara, and Yichen Qian, University of Maryland, College Park; Patrick Gage Kelley, University of New Mexico; Michelle L. Mazurek, University of Maryland, College Park 重要な通信が覗き見られる危険性に対してEnd-to-End暗号化が重要視されてきてる。AppleやGoogleのサービスは広く使われている。その裏では、使いやすさのために鍵管理にKey-Directoryサービスを適用している。Key Directoryはセキュリティを犠牲にしているともいえる。ユーザはそれをどう考えているか。被験者にインタビューの結果、一般的な利用者はKeyDirectoryのような登録モデルで日常ユースは問題ないと感じていることが分かった。ユーザの行動原理の認識、把握 https://www.usenix.org/conference/soups2016/technical-sessions/presentation/bai

Slide 59

Slide 59 text

透過性/ランダムな文字列表示の有無 2019/6/15 ISACA名古屋支部特別講演会 58 Ruotiら（2013年） Fahlら（2014年）電子メールの暗号化において、ランダムな文字列表示をする（＝透過的にしない）ことでユーザーの信頼性があがることを示した。メッセージの暗号化において、ランダムな文字列を表示することで、暗号化していることを認識させることに成功した Baiら（2016年）メッセージの暗号化において、透過的に暗号化をしても利用者は混乱せずに利用できていることを示した

Slide 60

Slide 60 text

信頼（トラスト） 2019/6/15 ISACA名古屋支部特別講演会 59

Slide 61

Slide 61 text

ユーザビリティとは 2019/6/15 ISACA名古屋支部特別講演会 60 ある製品が、指定された利用者によって、指定された利用の状況下で、指定された目的を達成するために用いられる際の、有効さ、効率及び利用者の満足度の度合い（JIS Z 8521）指定された利用者指定された利用の状況下指定された目的有効さ（Effectiveness）効率（Efficiency）利用者の満足度（Satisfaction）信頼（トラスト）が影響してくるのでは

Slide 62

Slide 62 text

ユーザビリティを定義する5つのコンポーネント 2019/6/15 ISACA名古屋支部特別講演会 61 Learnability（学習しやすさ） Efficiency（効率） Memorability（記憶しやすさ） Errors（エラー） Satisfaction（満足） • そのデザインに最初に出会ったときに基本的なタスクをユーザが達成するのにどれくらい簡単であるか • そのデザインを1度覚えたら、ユーザはどれほど素早くタスクを実施できるか • 利用しない期間がある程度過ぎたあとにそのデザインに戻ってきたとき、どれくらい簡単に習熟性を再確立できるか • ユーザはどれくらいの数のエラーをし、それらのエラーがどれくらい重大で、それらのエラーからの回復がどれほど簡単か • そのデザインを利用するのにどれほど快適（pleasant）か信頼（トラスト）が影響してくるのでは

Slide 63

Slide 63 text

信頼（トラスト）の持つ機能 2019/6/15 ISACA名古屋支部特別講演会 62 事態を認識するうえでの複雑性や不確実性を低減してみずからの判断を形成する機能中谷内他、”リスクの社会心理学”, 2012 その個人が十分な知識を持っていないと自覚し、それでも直面する問題に対して何らかの方針を決めたいという場合に、「信頼」の機能が最も重要になる

Slide 64

Slide 64 text

信頼とは 2019/6/15 ISACA名古屋支部特別講演会 63 ルソーら＠1998を中心に先行研究の共通部分をまとめたもの相手の行為しだいで被害を被る危険性も、よい結果が得られる可能性もあるという状況の中で、よい結果が得られるだろうと期待して、被害を被りうる（vulnerable）立場に身を置こうという心理的な状態中谷内他、”リスクの社会心理学”, 2012

Slide 65

Slide 65 text

信頼の構成要因 2019/6/15 ISACA名古屋支部特別講演会 64 • 複数要素（多元性）があるという認識が一般的 • 多くて5つ程度 • 「能力に対する期待」がそのうちの1つの要素として安定して見いだされるバーバー、1983 「技術的能力への期待」「受託責任を果たすことへの期待」メイヤーら、1995 「能力認知」「誠実さ認知」「相手への善意の認知」カスパーソン、1986 「能力」「配慮」「予測可能性」「目的に向けてのコミットメント」中谷内他、”リスクの社会心理学”, 2012

Slide 66

Slide 66 text

信頼の構成要因 2019/6/15 ISACA名古屋支部特別講演会 65 ピータースら、1997 「知識と専門性」「開放性と正直さ」「相手への関心と配慮」メトレイら、1999 「能力要素についての評価」「感情的要素についての評価」ジョンソン、1999 「能力」「配慮」おおよその同意 • 信頼は複数要素から構成 • そのうちの1つは能力認知。主に過去の実績に基づいて評価。 • 「人柄」該当要素も信頼を規定するが、複数に分けられることもある • その場合、リスク管理者そのものの評価（正直、誠実など）とこちらとの関係性の評価（配慮、善意）に分けられる中谷内他、”リスクの社会心理学”, 2012

Slide 67

Slide 67 text

A BRICK WALL, A LOCKED DOOR, AND A BANDIT: A PHYSICAL SECURITY METAPHOR FOR FIREWALL Fahimeh Raja, Kai-le Clement Wang, Kirstie Hawkey, Konstantin Beznosov, Steven Hsu 2019/6/15 ISACA名古屋支部特別講演会 66 https://cups.cs.cmu.edu/soups/2011/proceedings/a1_Raja.pdf

Slide 68

Slide 68 text

パーソナルファイアウォール表示 2019/6/15 ISACA名古屋支部特別講演会 67 元の表示 • S：安全（Safe） • U：不明（Unrecognized） • M：悪意のあるソフト（Malicious）表示の改良

Slide 69

Slide 69 text

パーソナルファイアウォール表示 2019/6/15 ISACA名古屋支部特別講演会 68 物理セキュリティの比喩を用いた表示比喩の有効性を提示 SOUPS2011論文読破会における議論文化的背景により効果が違うのでは、という指摘縞模様＝囚人＝犯罪者という図式は欧米のものであり、日本では異なる

Slide 70

Slide 70 text

• 相手の認証（大半の利用はサーバ認証だけ） • 利用する暗号技術の選択 • セッション鍵生成 SSL/TLSとPKIの信頼 2019/6/15 ISACA名古屋支部特別講演会 69 Secure Socket Layer（SSL） Transport Layer Security（TLS） • PKIの最大のアプリケーション • 通信路の暗号化、通信相手の認証、受信メッセージの認証などの機能を持つ TLSネゴシエーション

Slide 71

Slide 71 text

いくつかの暗号技術の紹介：PKI 2019/6/15 ISACA名古屋支部特別講演会 70 認証局（CA）の信頼ブラウザーやOSがあらかじめ信頼できる認証局のリストを持っている（トラストリストモデル）証明書の有効性 • CAは証明書発行時に有効期限を設定する • 利用者が鍵の紛失や漏洩などをした場合、証明書を無効とする（失効）利用者側が行う確認 • 証明書が信頼できるCAから発行されているか • 証明書に記載されている情報に間違いがないか（Webサーバー証明書の場合、アクセス先のホスト名と同じ名前が書いてあるか） • 有効期限 • 失効

Slide 72

Slide 72 text

信頼が揺らぐとき 2019/6/15 ISACA名古屋支部特別講演会 71 認証局が攻撃を受ける 2011年、オランダの半官半民ルート認証局DigiNotorに対する不正事件と 500枚超に及ぶ証明書の不正発行認証局が悪意を持って行動する CNNIC事件 • 2015年、CNNICのルート認証局下でエジプトの中間認証局自身が証明書の不正発行 WoSign事件 • 2016年、偽物の証明書を大量に発行 • サブドメイン保持者がメインドメインの証明書発行が可能に • イスラエルのStartComを買収したが所有権変更を明かさなかった

Slide 73

Slide 73 text

まとめ 2019/6/15 ISACA名古屋支部特別講演会 72

Slide 74

Slide 74 text

Usable Security / Usable Privacyの難しさ Webサイトのユーザビリティセキュリティの実現とプライバシーの保護 Webサイトの本来の目的を達成するためのユーザビリティ • サービス（Webサイト等）の本来目的ではなく、要素の1つ • 第3者（悪意のある・なしを問わず）の存在から守られなければならない • しかしこの要素は時に本来目的を阻害することもある合わせて考える本来目的を阻害せず、SecurityとPrivacyの高いユーザビリティを実現 2019/6/15 ISACA名古屋支部特別講演会 73

Slide 75

Slide 75 text

ユーザーの行動原理の認識、把握 • ユーザーってこういうパスワードを付けてしまいがち • ユーザーってこういう情報が付与されていると強いパスワードをつけがちどう実現する？人間の行動原理 • 未知の部分が多い • 新しい世界、文化 • 例：「スマホをみんなが持ちました。スマホ持ったユーザーって移動中に何をする？」解決のフロー行動原理を応用した高いユーザビリティの実現パスワードのケースでは「こういう情報」を効果的に配置しましょう 2019/6/15 ISACA名古屋支部特別講演会 74

Slide 76

Slide 76 text

多くの研究成果：ユーザー行動原理、対策技術アカデミアを超えて 2019/6/15 ISACA名古屋支部特別講演会 75 アウトリーチ講演・プレゼン授業・講義 Web（スライド、ブログ）