リバースエンジニアリング技術について語り合うイベント(講演+パネル)を4月上旬に企画中です。
4月9日(月)@東京とかだと入社式やら入学式やら年度初めで困るというような方はいらっしゃるでしょうか?
また、こんなことを聞いてみたい、やってみたいなどということもあればご提案ください。
あと、都心で会場を提供してくださる方も募集中です。
予定は未定ということで大幅な変更があってもご容赦ください。
WinnyやShareなどでさまざまな著作物が自由に交換されている一方で、地上デジタル放送やハイビジョンTV, Blu-ray, HD-DVD, iPodなどいつしか我々の周りには著作権管理のしくみを適用した様々な機器があふれかえっている。
著作権管理の技術や仕様はAACS, CPPM/CPRM, DTCP/DTCP-IP, DLNAなど多数のアクロニムが登場しとっつきにくい一面があるが、本書はこのような世界を平易な表現でわかりやすく網羅的に解説している。
本書では技術的に深く突っ込んだ議論が行われているわけではないが、現在どのような技術が適用されているのかなどを概観し、個々の技術について深く掘り下げたい場合には参考文献や紹介されているサイトを参考に、調査をしていけばよいだろう。
一般向けに詳しく解説されることの少ない分野ではあるが、著作権の一般概念にはじまり利用されている暗号技術などについても丁寧に記述されており、効率よく著作権管理技術の動向を理解したいという人にずばりお勧めである。
本書の構成
———————
序章 著作権管理の基礎知識
第1章 DRMの基礎技術
第2章 流通メディアから見た保護技術
第3章 暗号技術を中心としたDRM標準化動向
第4章 メタデータ活用を中心としたDRM標準化
第5章 コンテンツ流通システムの実際
第6章 コンテンツ流通市場におけるDRM
付録A XMLとWebサービス
付録B 著作権法(抄)
———————
■書籍
ユビキタス時代の著作権管理技術~DRMとコンテンツ流通
東京電気大学出版局、今井秀樹編著
¥ 3,150 (税込)
※画像にはAmazon.co.jpへのアフィリエイトリンクが設定されています。
セキュリティホールメモ小島さんからの再度コメントをいただいた。
「特定のウイルスを防ぐための特定の技術 (代替技術なし) の場合であっても話は同じだと思います。リアルウイルスと戦うための技術 (薬) の世界では何年も前から問題になってますよね。その特許を override でき得るような法体系になっていれば別ですが。」
私は前提として、本来どうあるべきか、どうあって欲しいかという視点で考えるようにしている。既存の特許法の枠組みで云々ではなくて、その法律がそのまま放置された場合にどういう不具合が起こりうるか、現行法が実情に適合しているかという点も含めて考える必要があると思う。
だからWinnyでの情報漏洩のときと同様に、「法律がこうなっているのだからしかたない」、「今までもあった問題だからしかたない」と看過するのではなくて、本当にそれが何かまずいのであれば法改正や特別な措置も含めアクションに結びつけるための問題提起を積極的にすべきだと思う。
あるいは社会のコンセンサスとして、情報セキュリティについても特許制度の枠組みを活用すべきということになるなら、各企業や研究者はそのための対応をとっていくことになるだろう。セキュリティに限らずソフトウェアに関する特許やオープンソースと特許に関してはこれまでもいろいろと問題が起こってきた。今後情報セキュリティに関しても大きな問題が起こらないとはかぎらない。
小島さんがリンクで示した「人命は特許に優先する:危機に晒される数百万人の命 -安価な医薬品へのアクセスを守るための署名のお願い- (国境なき医師団, 2006.12.20)」のような事態が存在するのであれば誰かがそういった問題を提起する必要があるのと同様だ。
今回のケースではセキュリティベンダーだって企業なのだから、新技術開発のインセンティブが必要だ、それによって技術革新が進むのだという考え方はありうる。一方で既存の制度枠組みが公共のセキュリティの向上を阻害するような事態が生起しうるなら一定の「override」するルールも含めて考える価値はあると思う。
ちなみに、今回の件については個人的にネットエージェントの杉浦さんとも話をしており、それほど深刻な状況にはないと感じていることを付記しておく。
これまでもイベントや研究会等でご協力いただいている杉浦さんのネットエージェント社が「Winnyファイル拡散防止サービス」を開始した。同社はこれまでもその高度な技術力をベースにWinny, Shareの調査サービスなどユニークなサービスを提供している。同社のWebページによれば
「ネットエージェントは自社で開発したWinnyファイル拡散防止システムを利用し、Winnyネットワーク上に流出した漏えいファイルの拡散を防止します。」
(Winnyファイル拡散防止サービス, ネットエージェント)
というサービスだそうだ。
Winnyなどの匿名P2Pネットワークにおける検索情報のポイゾニングに関しては、私の同僚が2005年の2月頃からeDonkey、FastTrack、Gnutellaを対象に実験を行いその効果について確認をしている。また、偽キーデータと偽ファイルの挿入によるポイゾニングをWinnyの情報漏えい事故後の被害局限に応用することについてはが私自身が2006年3月頃から各所で提案し、その実際の効果の検証は2006年7月に機能を制限したWinny互換クライアントを利用し実施している。この際偽ファイルの配布と偽キーデータ配布の2つのアプローチを検証し、キーデータによるポイゾニングはキーデータを発信し続ける限りは有効だが、2次拡散効果が期待できる偽ファイル配布方式に比べると効率が悪いことを確認している。
今回同社のページに「Winnyファイル拡散防止システム (特許出願中)」との記載があり、このような情報セキュリティ対策技術に関して特許出願がなされたことに少し驚いた。
この出願がどういった狙いで行われているのかは直接確認しないとわからないが、営利企業の立場からすれば取得の可能性がある特許については早々に出願しておきたいという考えは理解できなくはない。私も企業の経営者の立場にあれば同じことを考えるかもしれない。これまで情報セキュリティに関する技術情報は他の技術領域に比べれば、早期に公開されることが多く一旦公開された内容については特許の対象とはならないために、あまり特許の問題を目にする機会は少なかったように思う。
今後、様々な企業がセキュリティ対策について特許を出願しその権利を行使するような時代が来るとなると、情報セキュリティ対策の普及や研究活動にも制約が及んでくることになるかもしれない。例えばある「特定の」(2/15追記)ウィルスを検知・駆除するための技術について特許出願が行われ、他の企業がそのウィルスを検知・駆除するために「同じ手法を使わざるを得ない状況が生まれた場合に」(2/15追記)特許使用料を支払わなければならないというような事態が起こるのだろうか?(あるいは実際に起こっている?)また、そういった事態がありうるとするとそれを逆手にとり、自分で作ったウィルスを検出・駆除するためには自分が権利を保有する特許を使用せざるを得ないというような状況を意図的に作り出し、ウィルスベンダー各社から使用料をせしめるなどという輩も出てくるかもしれない。
私は情報セキュリティ企業が情報セキュリティ対策や関連するサービスによって儲けてはいけないとは思わない。情報セキュリティ技術者は全てボランティアというような状態は結果的に社会にとってはマイナスだろう。きちんとした企業が優秀な人材を集め、質の高い価値のある製品、サービスを提供しそれに対して十分な対価を得られる環境が整備されるべきだ。特に国内の情報セキュリティ企業の活動が産業として成熟し国際的にも競争力を高めていくことは、国家としても重要な課題だと考えている。とはいうものの情報セキュリティにおいて積極的に特許の取得や権利の行使が行われるとなると、各種対策の実現や研究活動の制約が多くなりあまり望ましい状態ではないようにも感じる。
情報セキュリティ技術についても他の技術領域と同様に特許の仕組みを積極的に活用すべきなのだろうか?あるいは社会、企業の両方にとってメリットのあるなんらかのルールや枠組みが必要なのだろうか?
(参考情報)
■「Winnyファイル拡散防止サービス」提供開始(ネットエージェント, 2/13)
http://www.onepointwall.jp/press/20070213.txt
■Content Availability, Pollution and Poisoning in File Sharing PeertoPeer Networks(Nicolas Christin et.al.)
http://p2pecon.berkeley.edu/pub/CWC-EC05.pdf
■偽装ファイルによるWinny漏洩情報の隠蔽(武田圭史, 06/03/28)
http://motivate.jp/archives/2006/03/winny_4.html
■Winny流出には「P2Pネットワークポイゾニング」が有効 (InternetWatch, 06/03/27)
http://internet.watch.impress.co.jp/cda/event/2006/03/27/11378.html
(2/15 追記)昔に似たような話があったなと思い検索したら以下のような情報を発見した。
■平成17年度特許流通支援チャート・不正アクセス侵入検知防御技術(工業所有権情報・研修館, 2006年3月)
http://www.ryutu.ncipi.go.jp/chart/H17/denki31/frame.htm
■Intrusion Detection Systems: NIDS Patent(Insecure.org, 2000年5月)
http://seclists.org/ids/2000/May/0056.html
(2/15追記2)
セキュリティホールメモ小島さんの「特定の検知・駆除手法に対して特許が取得されている場合の話やけど・・・」について、「(様々な対象に適用可能な一般的な)特定の手法ではなく」「特定のウィルス」について例えば通常考え得る方法の特許を先行取得することで他のベンダーが同様の手法で検知することを妨害しうるかという疑問だったので、若干の補足を追記した。
ひさびさの更新となりました。
下記のとおりイベントを開催いたしますのでお知らせします。
オフショア化が進む国際的なIT開発の現状、わが国におけるCISO(最高情報セキュリティ責任者)のあり方、最新のプライバシー保護データマイニング研究の動向などをご紹介します。CISOだけでなく企業の経営陣やIT担当者、ソフトウェア開発者、情報セキュリティ研究者まで幅広い方に参加いただければと思います。
■カーネギーメロン大学日本校CISOセミナー(1/29, 東京都千代田区海運クラブ, 通訳有, 参加無料)
http://cmuj.jp/070129CISOseminar/index.html
まだAmazonに載っていないことでもっぱら話題の「ネット vs. リアルの衝突 誰がウェブ2.0を制するか」(佐々木俊尚さん著)の献本が届いた。
ウェブ2.0云々というのは出版社のマーケティングの都合だろうが、同新書の帯に書かれていたコピー「企業、人間、国家の興亡を賭けたサイバー総力戦」というのは、やりすぎ感はあるものの、壮大なハリウッド映画のキャッチみたいで気に入ってみた。
まだ正式発売前なのとまだ読み終わっていないため、内容については詳しく書かないが、インターネットによってもたらされる民主化とアナーキー化、とそれに対する国家権力による覇権化の衝突を、サミュエルハンティントンの「文明の衝突」になぞらえ、Winnyからデジタル家電、Web2.0まで興味深い切り口で今の時代を描いている。(NGNなども同じ文脈で捉えることもできるのだろう。このあたりは今後に期待か?)
佐々木氏はこれまでもネット系の様々な出来事について的確な描写と鋭い考察を示してきており、私が信頼するジャーナリストの一人である。今もなお本書に書かれた多くの事柄がリアルタイムで進行しており、さながら今の局面を紐解く上での参考図書としても使えそうだ。
佐々木さんありがとうございました。
【書籍】
「ネット vs. リアルの衝突 誰がウェブ2.0を制するか」(佐々木俊尚著)
文春新書
定価(税込) 840 円
ISBN 4-16-660546-1
来る12月11日に、CMUピッツバーグ、Dr. Adrian Perrig助教授による「センサーネットワーク保護のための技術」と題した無料セミナーを神戸で開催します。今年7月に開催し好評を博したセミナーの続編であり『セキュアセンサーネットワーク』についてより具体的な技術動向や研究成果について解説します。
詳細は下記ページをご覧ください。
(セミナー概要)
■「センサーネットワーク保護のための技術」(12/11 15:30-17:00, 神戸, 無料, 英語)
http://www.cmuj.jp/061211seminar/index.html
米国やヨーロッパの一部では情報セキュリティは経済学的な問題としてとらえられ、以前から様々な研究活動が行われてきた。日本でも情報セキュリティの投資対効果分析が行われたりすることはあるが、その程度にとどまってしまいそれほど盛り上がっていないように感じられる。
今回、プライバシー情報の取り扱いに関する経済分析の分野で知られ、BlackHatでも過去に講演をしているAlessandro Acquisti氏をCMUピッツバーグより招きプライバシーの経済学に関するセミナーを開催することとなった。プライバシーや個人情報保護の背景にある理論や今後の展開について興味深い話が聞けるだろう。
(関連情報・申込み)
■カーネギーメロン大学日本校・情報セキュリティセミナー(12/4, 神戸市, 無料)
「プライバシーの経済学(The Economics of Privacy)」
http://www.cmuj.jp/061204seminar/index.html
本書はネットワーク不正侵入やクラッキングの実際をリアルに描いており、単にハッキングものの読み物としてだけではなく、ネットワーク管理や不正アクセス対策に取り組む技術者、情報セキュリティに関する研究者が攻撃者の視点から不正アクセスの実状を理解する上でも参考とすることができる。
多くのハッカー本やメディア報道がハッカー(クラッカー)を神格化し、天才的な少年がいかに高度なテクニックを駆使して軍事ネットワークの奥深くから国家秘密をいかにして盗み出すかといったようなストーリーを描きたがる一方で、本書はハッキング/クラッキングの現実を極めてリアルに描き出すことに努めている。共著者の一人であり自ら情報犯罪で投獄されたことで知られるケビン・ミトミック氏が誇張や捏造を排除するため自ら信頼性に高いハードルを設けて実施した取材をベースとしており、現実感の高い内容になっている点は評価したい。
特に不正侵入を行う攻撃者が管理者に見つかることを恐れビクビクしながら攻撃を行っていたり、いかに攻撃のハードルの高いシステムを避け、管理の杜撰な箇所を狙って攻撃をしかけてくるかなど、攻撃者側の視点での戦略がうまく描かれている。過去の事件を取り扱っているため内容は少し古くはなっているが、実在するツールや脆弱性について技術的な視点から触れられており、実際の内容に即したものとなっていると思われる。技術的な背景を理解している人なら、この攻撃はあの手口だななどと自分の知識と照らし合わせながら読むことができるだろう。
ハードウェア・ハッキング、ソーシャルエンジニアリング、ペネトレーションテストなど様々なハッキングのシナリオが延々とオムニバス形式で綴られており純粋な読み物としては単調な感もあるが、ドキュメンタリーとして捉えれば、現実のハッキングの裏側や攻撃者がどのような思考に基づき行動しているかなど、防御側にとっても学ぶべきところも多い。
■書籍
ハッカーズ その侵入の手口 奴らは常識の斜め上を行く、ケビン・ミトニック (著), ウィリアム・サイモン (著), 峯村 利哉 (翻訳) 、インプレスジャパン、¥1,995 (税込)
※画像にはAmazonアソシエイト・プログラムのリンクが設定されています。
※インプレスジャパン様より当該書籍を献本いただきました。ありがとうございました。
ここのところ大学の立ち上げに伴う各種業務に追われ、テレビドラマもクラッシック音楽もマンガにも縁遠い生活を送っていたが、最近は毎週月曜9時フジテレビの「のだめカンタビーレ」を楽しみにしている。あらためて紹介するまでもない話題のコミックが実写でテレビドラマ化されたものだが、原作はもちろんドラマとしての完成度も高い。
特に先週放映された第4話では1時間枠に、笑いあり感動あり、盛りだくさんのストーリがテンポ良くまとめられており1時間枠のテレビドラマとは思えない充実した内容であった。
通常コミックをドラマ化すると違和感があったり、描写に無理があったり、原作のイメージを台無しにしてしまうことが多いように思うが、このドラマはマンガのテンポのよさを実写で違和感なく実現されているところがすごい。
主人公の「のだめ」が突っ込まれる場面で、マンガ風に引っぱたかれた勢いで数メートル飛ばされて岩にぶち当たったりするところを実写できちんと表現しているのは感動的ですらあった。
そうそう、テレビではコミックとは違いストーリー中で使用する音楽が流れるので、クラシック入門としても楽しめるのが素晴らしい。
■のだめカンタービレ(フジテレビ, 月曜夜9時)
http://wwwz.fujitv.co.jp/nodame/index.html
最近のコメント