World Congress on Internet Security (WorldCIS-2011)

情報セキュリティ研究室 > 学会/セミナー報告 > World Congress on Internet Security (WorldCIS-2011)
###	参加報告:World Congress on Internet Security (WorldCIS-2011) 				###
###              										###

【会 議 名】World Congress on Internet Securit (WorldCIS-2011) 
【開催日時】2011年2月21日(月)〜2月23日(水)
【場    所】Thistle Hotel London Heathrow, Bath Road Longford Docklands, London, UK.
【   URL  】http://www.worldcis.org/
【主    催】IEEE
【後  援】IEEE UK/RI Computer Chapter
            Infonomics Society
            SAP
【参 加 者】約60名 (研究者は約30名、博士課程他学生 約30名)
       3日間の本会議において15のセッションが開催され、約40件*の論文が発表された。
            また、5件のKeynote speechと1件のSpecial Trackが行われた。
            *聴講した複数セッションにおいて計3件の発表者が不参加でキャンセルされた為。           
【報 告 者】江藤研究員


<2月21日> 9:00-17:50
+++++++++++++++++++++++++++++++++++++++
KeynoteT & U:				[9:00~11:50]	約30~40名
+++++++++++++++++++++++++++++++++++++++
■開催の挨拶 (Prof. Charles A. Shoniregun)

■Title: Information Security: It's a balancing act
  Prof. Fred Piper (Longford Suite)
概要:道路、交通事故を事例としてセキュリティを語る。
      100%の完全なセキュリティはない。また、交通事故と同様に、受け入れ可能なセキュリティレベルレベルもは無いとし、
      いかに最小化するかを考える、という内容。セキュリティの重要性の徹底の例とし、"Achievable or Impossible Dream ?"
      としながらも過去20年のポジティブステップとして、-Awareness/-Qualifications/-Professionalism、を挙げる。
      最後に、CYBER ?とし、Internationalであり、National solutions have limited effectivenessとし、ENISAやIMPACTレベル
      での活動の必要性を説く。

所感:道路事故の事例での説明は判り易かったが、特に目新しい提案や興味を引く
    主張はない、と感じた。


■Title: Experiments into Biology-Technology Interaction: Importance of Network Security
  Prof. Kevin Warwick (Cybernetics at the University of Reading, England)
概要:K.Warwick教授自身が、1998年に2ペンスコインの直径と同サイズのRFIDインプラントを左腕に埋め込む手術を受け、
      生体認証が可能という話から始まる。次いで、指先にmagnet sensorを埋め込み運転時の障害や敵を索敵可能とする事例。
      脳の信号を検出して障害者の体や義手を動かす事例。さらには、Aの脳信号を受けてBの腕を動かしたり、
      脳にチップを埋め込みロボットを動かす事例、等。脳の信号をInternet経由でサーバへ送り、サーバで処理し、
      神経と接続されたインプラントへ送信して体やロボットを動かす、新技術を紹介。
      Internet利用の為、securityも重要というが、既存のセキュリティ技術利用以上には言及せず。
      TV等で紹介された映像は、以下で参照可能。
   - www.kevinwarwick.com
      - Youtube "rat brain robot" & "cyborg"

所感:障害者や義手を脳の信号を検出して動かす、ぐらいは技術として理解。が、他人の意志で自分の体を動かす、
      センサーチップを脳に埋め込んで意識するだけでロボットを制御、という話は教授も言うようにSF的。
      技術的に可能な点は認識するが一線を越えている印象。

Q.どうやって対象者(制御先の相手)を識別するのか?
A.2人の人間間での単純な信号制御。セキュリティ保証の中で実施。
Q.人間とロボットをどうやって区別。
A.脳は自分の動きと外からの動きを識別可能。
Q.セキュリティはどう確保するのか?
A.NWセキュリティに同じ。
Q.NWプロセッサを早くしたらどのくらい早くできる?


+++++++++++++++++++++++++++++++++++++++
Session 1: Internet Security		[12:22~13:23]	約15名
+++++++++++++++++++++++++++++++++++++++
■A Novel Network Platform for Secure and Efficient Malware Collection based on Reconfigurable Hardware Logic
 Sascha Muhlbach (Center for Advanced Security Research Darmstadt (CASED))
  Andreas Koch (Technische Universitat Darmstadt)

概要:malware収集の為のhoneypotをsinglechipのhardwareで実現
      の提案。HWで実現の理由は、Security、Performance及びFlexibility。
      FlexibilityはVEDL言語で実現。動作時は複数のmalwareに対し
      並行処理も可能なプロトタイプを作成し、検証。(Ph.D学生の発表) 

Q.Parallel architectureであり、processもparallelと理解。
  resource等はどう制御しているのか?
A.リソースはchip上でシェアし、それぞれ独立して処理。
Q.VEDLについて。HW特有 or 一般の言語か?
A.HWのコンパイラに依存し、独自の提案。
Q.VEDL以外でも可能か?
A.VEDLコンパイラに依存。


■ DDoS Attacks Traffic and Flash Crowds Traffic Simulation with a Hardware Test Center Platform
   Jie Wang, Raphael C.-W. Phan, John N. Whitley and David J. Parish
   (High Speed Networks Research Group Department of Electronic and
    Electrical Engineering Loughborough University, UK)

概要:DDoSトラヒック及びFlash Crowdトラヒックの双方をシミュ
      レーションするSpirent Test Centerプラットフォーム上でのテスト
      ベッドのシミュレーション方法の提案。UDP Flooding attack, ICMP
      Flooding attack, TCP SYN Flooding attack及びApp-DDoS attackの4種類を含む。(Ph.D学生の発表) 

Q. (no question) 


■ Assessing the Portuguese Web Applications Security
  Nuno Teodoro, Carlos Serrao (DCTI/ADETTI ISCTE-IUL, Ed. ISCTE, Portugal)
概要:政府サービス等のWWWで使用されるPortugalに関し、
      一般的なセキュリティ状態に関する初期調査の報告。(Master学生の発表) 

所感:資料のページ更新と説明が早く、理解できず。
   図やグラフの表現、結果がproceedingとも、大きく違う。。。

Q.training機能は?
A.trainig機能はない。configuretion設定のみ。
Q.検出ゼロということはセキュアということか?
A.セキュアということではない。今は第一段階。
 別に適用したら別の結果の可能性はある。
Q.どうやって結果を検証するのか?
A.メモリのログを解析。
Q.検出MalwareのTop10はどうやってマッピングしたのか?
A.メモリ内容を直接確認してマッピングした。


+++++++++++++++++++++++++++++++++++++++
Session 5: Data Security		[14:25~16:00]	約11~15名
+++++++++++++++++++++++++++++++++++++++
■ Security Extensions of Windows Environment based on FIPS 201 (PIV) Smart Card
   Abdul Ghafoor Abbasi, Sead Muftic, Shahzad Ahmed Mumtaz 
   CoS, School of Information Communication and Technology, Royal Institute of Technology, Sweden
概要:FIPS201(PIV) Smart Card標準に基づくWindowsアプリ向けの
      セキュリティ拡張の提案。具体的には、一般のセキュリティ対象の
      概念に基づくSecurity Appletsとミドルウェア、認証プロトコル及び
      セキュリティ機能を提供するWindowsアプリの拡張、を提案。

Q.インプリにおいて、Security channel は必要か?
A.今回の実装は内部ターミナルなのでchannelとしては必要ない。
 protocolで保証される。外部ターミナルと通信の場合には必要。


■Getting back control of your Data: Digital Signing practical issues and the eCert Solution
  Lisha Chen-Wilson, Andrew M Gravell, David Argles
  Learning Societies Lab, School of Electronic and Computer Science,
  University of Southampton, United kingdom

概要:デジタル署名の内、電子文書における認証システムに関する
      未対応問題への対応。三者又はそれ以上の未確認者へ電子文書送付
      の際のセキュリティ問題への対処方法。具体的には、署名者のCRL
      (certificate revocation list)の利用により対処する。(Ph.D学生の発表) 

Q.What is methodology captures data ?
 データを入れたらどのようにCertification をidentifyできるのか?
  face to faceの場合は?
A.最初にidentity of personをverificateする。
  次に、eCertification IDを番号でissueする
  ドキュメントの場合は、より多くの情報を確認する。
  同様にidentificationを確認し、その後にeCertificationを発行する。
 顔の情報無しに番号等の情報から確認可能。
C.face to faceのメモリプロセスではなく、(既存システム等の)ポリシー依存を用いればフルシステムが構築可能と考える。
A.参考とする。


■A Survey of Static SoftwareWatermarking
  James Hamilton and Sebastian Danicic
  Department of Computing, Goldsmiths, University of London, UK
概要:Watermaking技術のstatic SW技術に関するサーベイ論文。
      static watermarkとdynamic watermark、Code Re-Ordering watermark、及びGraph Wwatermarkingも説明。
      static watermarkの場合にはその正当性の証明が必要とし、証明元がsource codeを所有するか否かでも判断を提案。
      (Ph.D学生の発表) 

Q.How is the efficently detect watermark ?
A.source codeによる証明
Q.どのくらいの人が利用?
A.利用自体が秘密情報なのでわからない。たぶん、多く利用。


+++++++++++++++++++++++++++++++++++++++
Session 7: Data Security		[16:22~17:50]	約20~25名
+++++++++++++++++++++++++++++++++++++++
■Secure Confirmation of Sensitive Transaction Data in Modern Internet Banking Services
  Thomas Weigold, Alain Hiltgen (IBM Research Zurichi)
概要:Internetバンキングサービスに対する改竄攻撃に関する提案。
      具体的には、secure環境のデバイス ZTICにより、userとSmart Card間の接続、通信を保証する。
      高いセキュリティレベルを提供するだけでなく、利便性とモバイル性の特性も実装とし、多くのユーザ数にも対応可能。

Q.Cofidentiality, システムの点で、availableか?
  transaction中の攻撃下では考えられていないのでは?
A.問題ない。考慮している。(※複数質問者が回答中に口出し、中断、紛糾)
Q.transactionはCPUの上で実施?
A.ZTICチップ上で実施。


■Secure Service-Oriented Architecture for Mobile Transactions
  Feng Zhang, Sead Muftic, Gernot Schmoelzer
  (Communication Systems School of Information and Communication Technology
  Royal Institute of Technology (KTH), Stockholm, Sweden)
概要:モバイル処理の為のsecure serivce指向のアーキテクチャの提案。
      Layer 接続レベルの接続、アプリ接続レベル、mobile端末接続レベル、
      Native server(Provide server, ex.Bank server)レベル接続の4レイヤでmobile phone(Smart Phone?)とNative server間を接続。
      複数レイヤレベルで構築することによるセキュア通信のアーキ提案。(Ph.D学生の発表) 

Q.How it is efficient for exectute transaction, How quick ?
A.5min. normal protocol に依存。NW内のキャリアサービスに依存し、
 大きな問題にはならないと考える。コンピュータベースでのmobile phoneサービスを考えた。
 我々はプロトコルを考えている、システム全体なので他の参加も歓迎。
Q.Interoperability性があるが、Protocol I/Fは ?
A.標準仕様に基づいている。カスタマイズも可能


■High Level Anti-Phishing Countermeasure: A Case Study
  Abdullah M. Alnajim (Department of Information Technology, College of Computer, Qassim University Saudi Arabia)
概要:Phishing攻撃に対し、各国連携してNW全体として対処すべきとし、まずは、サウジアラビアで実施、という攻撃防御の提案。
     DSP(Data Service Provider)内にBlack Listによりanti-Phishing対応する提案。
      検証において、(Phishing先の)DestinationがInternalならば、(攻撃元である)SourceがInternal/Externalともにeffective。
      DestinationがExternalならば、Sourceに拠らずineffective、と報告。(Ph.D学生の発表) 

Q.Good information for attacker about external and external. What will you do next ?
A.モデルは実際のモデルではない。実NWには非公開の別防止策もある。モデルはあくまで技術用のモデル。
Q.提案モデルについて。DSPのblacklistはシステム(のDSP全体)にフィードバックできるのでは?
A.理解するが、本稿では、トラフィックベースでListを小さくする方法を採用している。



<2月22日> 9:00-17:10
+++++++++++++++++++++++++++++++++++++++
KeynoteV & Special Track:				約20~30名
+++++++++++++++++++++++++++++++++++++++
■Title: Security Comprehension of Healthcare Information Systems
  Prof. Charles A. Shoniregun (Applied Internet Security and Information Systems, Founder of Infonomics Society)

概要:ネットワーク上で、センサ対応かつモバイルコンピュータ基盤にあるヘルスケア情報のセキュリティは、
      ヘルスケアICTアダプションの主要問題及び潜在的リスク双方の中核である。
      アメリカの電子医療システム推進の現状をTVリポートを用いて紹介。一方で、医療データの改ざん、
      喪失のリスクに対するセキュリティが重要と強調。Solutionとしては、管理組織の制御環境、個人ではなく
      連携した制御の効率化、等を提案。

所感:電子医療制度の現状とセキュリティの重要は理解。しかしながら、ソリューションも提示だけで実現性と課題等もなく、
      トレンド紹介的な内容。


■Title: Writing a Research Paper and PhD Thesis
  Prof. Charles A. Shoniregun
 (Applied Internet Security and Information Systems, Founder of Infonomics Society)

概要:PhD学生の指導(研究及び論文)に関する事例紹介。


+++++++++++++++++++++++++++++++++++++++
Session 9: Broadband access technologies	[11:58~12:58]	8名
+++++++++++++++++++++++++++++++++++++++
■Tamper-Resistant Database Logging on Mobile Devices
  Subhasish Mazumdar, Anand Paturi* (New Mexico Instituteof Mining and Technology, USA)
概要:Smart Phone等のモバイル端末のログ情報のロギングスキームの提案。
      ログ情報毎にHash値を付与し、サーバへ送信し一括管理。Hash値により改竄や削除有無を検証可能。(Ph.D学生の発表)

Q.どのような機器を想定?。どのような障害を想定?。
A.Mobile device, tablet。情報漏洩。Hash値の検証で検出可能。


■IBE-Trust: A Security Framework for Wireless Sensor Networks
  Yusnani Mohd Yussoff1, Habibah Hashim2 Computer Engineering
  Department, Faculty of Electrical Engineering,
  Universiti Teknologi MARA, Malaysia

概要:センサノードと基地局間の通信確立及びセキュア通信の基盤提案。
      具体的には、既存の暗号スキームに基づく認証利用する Key Management SchemeとKey Agreement Schemeを結合した、
      IBE-Trustなる基盤のアイデア提案。(Ph.D学生の発表) 

Q.攻撃に対する検証及び評価は? Hashマネジメントバリュー
A.次論文にて記述の予定


■Security Analysis and Countermeasures Assessment against Spit Attacks on VoIP Systems
  Marialisa Scata, Aurelio La Corte Department of Computer Science and Telecommunication Engineering
  University of Catania, Italy
概要:SPIT(Spam over IP telephony)というSpamによるVoIPの通信妨害に対する攻撃防止策の提案。
      具体的には、User-Profile Frameworkとして、ユーザ毎に許容するパケット動作を"Users behavioral Features",
      "Profile Features","Use-Profile Matching"に定義し、合致するパケットのみをVoIPデータとして処理する。(Ph.D学生の発表)

所感:アイデアのみ。攻撃者が単なるSpamではなくVoIP疑似した場合の考慮等もなく、空論的。

Q.NWは一般を対象。VoIPの具体的サービスは?
A.normal NWを考えている。かつ一般のsecurity管理を考えている。skype等の通常のサービス。
Q.profileはどのように管理するのか?
A.Users Behavioral Featureに関し、ユーザをクラス分けして制御


+++++++++++++++++++++++++++++++++++++++
Session 11: Security, Trust and Privacy		[14:00~15:45]	約10~15名
+++++++++++++++++++++++++++++++++++++++
■Effective Server Virtualization with Enhanced Security Strategy for Large Organization
  Dharmalingam Ramalingam1, Arun N. Shivashankarappa2
  1Majan University College, Muscat, Sultanate of Oman  2Middle East College of Information Technology,
 Muscat,Sultanate of Oman
概要:仮想化環境、及び、データセンタのコストを最小化、かつ、
   セキュリティ機能を改善した最適サーバ利用の為の効果的メカニズムの実績を紹介。

所感:MicrosoftのVirtualization技術をe-mail環境に適用した構築、インプリ事例の紹介的内容。システム構成を説明するが、
   通常のVM以上ではない。ロードバランシング、冗長構成、バックアップ、e-mailサーバのSAN storageでのデータ一括管理。

Q.e-mailのsingle customer ではなく、multiple customerの場合は適用可能か?
A.virtual machine間で制御することで対応可能


■Virtual Machine Based Security Architecture
  Elahe Borghei1, Reza Azmi2, Alireza Ghahremanian3, Hamed Nemati1
  Malek Ashtar University1, Azzahra University2, Azad University of Karaj3,
  Tehran, Iran	◆発表者不在でskip◆


■Security, Privacy and Efficiency of Internet Banking Transactions
  C. Ronchi, A. Khodjanov, M. Mahkamov, S. Zakhidov EISST Development Laboratory

概要:"crealogeix"なる自社端末がセキュアで有効、という宣伝的な内容。
   しかし、トランザクション処理のSWが攻撃されたら100%セキュアではない、とも言い、正直だが有効性が良く判らない。

Q.デバイス名は?
A.crealogeix
Q.何に適用。弱い点は? なぜカードリーダを使用しない?
A.セキュリティ性高いのでバンクサービスに適用。SWなのでハッキングされれば、というリスクはある。アプリを必要とする機器が増えることを防ぐ。


■A Graphical Password Authentication System
  Ahmad Almulhem
  Computer Engineering Department King Fahd University of Petroleum and Minerals Dhahran, Saudi Arabia

概要:従来のアルファベット文字に対し、画像(写真)パスワードの提案。(Ph.D学生の発表) 

所感:ユーザがアップロードする画像をパスワード利用する単純な提案。何が新しいのか不明。

Q.画像は選択性?
A.オリジナルの画像を登録可能


+++++++++++++++++++++++++++++++++++++++
Session 13: Data Security		[15:58~17:04]	約15~16名
+++++++++++++++++++++++++++++++++++++++
■Digital Forensic :on the Extraction of Forensically Relevant Information from Physical Memory
  Funminiyi Olajide*, Nick Savage
  Department of Electronics and Computer Engineering University of Portsmouth, United Kingdom

概要:Digital Forensicに関し、物理メモリからの情報抽出のサーベイ。
 以下の7つのstepにより実現される。
  -Determine the OS
  -PSLIST:List of running processes
  -PSCAN:Scan for EPROCESS objects
  -Memdump:Scan for EPROCESS objects
  -Strings:Scan for EPROCESS objects
  -Generate Human Understandable 
  -Sample Qualitative Evidence Assessment

Q.数学的モデルはあるか?
A.無い。メモリから再構成のアプローチ。
Q.動作中にp-offしたらどうなるか?
A.process idが無くなるので、再構成できない。ログファイルにエビデンスにidあれば再構成可能。


■Concurrency Control and Consistency Maintenance with DTD and SSM for Weakly Connected Environments
  Yusnani Mohd Yussoff1, Habibah Hashim2 Computer Engineering
  Department, Faculty of Electrical Engineering, Universiti Teknologi MARA, Malaysia ◆発表者不在でskip◆


■On Protecting the Integrity of Relational Databases
  Ibrahim Kamel, Kareem Kamel	Dept. of Elect. and Computer Engineering, University of Sharjah, UAE
概要:データの一元性を保護するWatermarking技術の提案。
      提案のwatermarkはone-to-one mapping技術により、データサイズ等の属性への影響を与えない。

Q.パラメータは?
A.性能とのトレードオフ



<2月23日> 9:00-12:50
+++++++++++++++++++++++++++++++++++++++
Keynote W & X:			[9:00~11:40]	約20~30名
+++++++++++++++++++++++++++++++++++++++
■Title: Security Challenges in 3D Multi-User Learning Environments
  Dr. Colin Allison (Computer Science, University of St Andrews, England)

概要:ケーススタディより教育に対する仮想世界の潜在性を示す。システム上の必要条件の前に既存のセキュリティ問題を持つshortcoming
      を明確化。3D環境としてSecond Lifeと自開発のOpenSimを例示し、ユーザの実名登録、VM世界における"Land"が制限されるが
      Freeであること等に拠り、OpenSimが優位であるとする。

所感:学生の教育に3Dを利用する利点は、そもそも利用が前提のようで今一つ理解できなかった。
      VM上でのイメージ画像が多数紹介されたが、Network Protocolの視覚化以外には特に利点が感じられない。

Q.バンキングサービスは?
A.今は未だ考えていない。

■Title: Towards 2020 Computing
  Prof. Frank Wang (University of Kent, UK) ※postpone

概要:2020年に向けての現時点でのキーテクノロジとして、Cloud ComputingとGreen Computingを挙げる。
      講師はGrid Computingの研究者で、英国政府支援のproject、米・中国-英間のNW通信による動画デモを紹介。
      Greenについては、memory+registerのMemristorに関し、コンピュータストレージ密度の重要な技術革新を
      実現したセミコンダクタとし、"delay switching"のfeatureあることを発見、と紹介。

所感:2020年に向けて、新しい/大きなトレンド的な技術の紹介を期待したが、
   Cloud、Greenのキーワードで新鮮味は無く、少々期待外れ。

Q.How large the memristor speed
A.0.5 nano meter, semi conのnew tech 20~25年必要。
Q.Speed issueとして
A.やや遅い、大きな欠点ではない。
Q.実験は?
A.30のmemristerでシミュレーション


+++++++++++++++++++++++++++++++++++++++
Session 15: Internet Security and Software Architecture	[11:59~12:41]	11名
+++++++++++++++++++++++++++++++++++++++
■FingerID: A New Security Model Based on Fingerprint Recognition for Distributed Systems
  Sara Jeza Alotaibi, David Argles
  Learning Societies Laboratory, University of Southampton, United Kingdom

概要:FingerIDというアカウント管理システムの提案。
      FingerIDにおいてアカウント登録し、その中で必要とするWebサービスを登録し、アカウントを一元管理する。
      サービス利用時は、FingerIDアクセスし、該当サービスを選択するのみ。(Ph.D学生の発表)

所感:OpenIDようなSingleSignOnとの差分は、プロバイダアプローチ
     ではなく、ユーザサイドからのアプローチか。

Q.Brower自体のabilityがある。どう変わる?
A.userのBrowerが全てが高いusability availavilityがあるわけではない。それを提供する。
Q.DB内のsecurityはどうやって確保するのか?
A.DBにおいて暗号化し、timestampと共に保管。


■Automatic hand writer identification using the feed forward neural networks
  Constantin Anton, Cosmin Stirbu, Romeo-Vasile Badea
  University of Pitesti, Romania

概要:質問もあったが、3人の学生によるテストで正答率は、95%弱、90%弱、98%弱。
      適用は歴史文書等、実害の無い分野に限られる印象。

Q.3 pepple testsで検証しているが、identification by handwritingは
 もっと多くの人(ex.1000人以上)の識別では問題ないか? 法廷でも利用可能なレベルか?
A.100学生で実験した。(ので問題無いと思う)
  歴史文書から始めた。いろいろと問題有り。


■A Semi-Fragile Watermarking Scheme for Color Image Authentication Based on Self-Embedding Mechanism Using
  YST Color Space Muhammad Hamad Hassan (Institute of Information Technology Kohat University of Science & Technology, Pakistan)
  ◆発表者不在でskip◆



[全体所感]
 1)参加国は欧米中心、かつ、留学生も多いので、中東、アジア、アフリカの出身者もいて国際豊かである。
  2)ハードウェアによるmalware収集のhoneypot、FingerIDというユーザサイドからのSSOのアカウント管理システム、
    Digital Forensic, Watermaking等の実用的な発表、実装提案が多い。
 3)次回は2012年に開催予定。詳細の開催場所・日時は未定である。



以上
+++++++++++++++++++++++++++++++++++++++



ページトップへ戻る

Copyright © 2011 Institute of Systems, Information Technologies and Nanotechnologies. All Rights Reserved.