日本ソフトウェア科学会のセキュリティに関するチュートリアル．最近の不勉強をカバーするつもりで行ってみる．

http://www.il.is.s.u-tokyo.ac.jp/~oyama/security/

武田圭史さんは，「安全な情報基盤構築のための技術と最新動向」という題名で講演．基本的なところは一通りしっかり押さえている．興味深かったのは，トラステッド・コンピューティングのリモート認証によるプライバシー侵害や，デジタル著作権管理の転用に対する反発（これも根底にはプライバシー侵害があるのか？）の可能性があるところか．また，企業内のPCを集中管理するためにエージェントソフトウェアをインストールすることがあるのだが，この方法はオープンな環境には適していない．そこで，最近はインストールしないでPCの脆弱性を検出する手法も開発されつつあるとのこと．

高木浩光さんの「Webアプリケーションの脆弱性と対応体制」によると，彼の今までの献身的な活動により脆弱性についての知識は広く知られるようになってきていると思うが，対応体制の構築も進みつつあるらしい．たとえば，今Web上のシステムに脆弱性が見つかった場合でも，企業によって対応が異なり，隠したり，（修正のための新たな予算確保の問題で）解決に時間が掛かったり，または脆弱性の報告者を犯罪者扱いして，自分の責任を回避するところさえある．結局，どのような場合に脆弱性が生じるか，また脆弱性を引き起こさない実装方法はどうすればよいのか，そして発見された脆弱性の早急な解決を義務化するためにはどうするかという問題がある．彼の今まで知られている貢献は最初の問題に対するものであるが，現在正しい設計を規格化して，発注段階の要件定義に盛り込むことができるような活動を進めているようである．なお，すでにIPAに対する脆弱性の報告も数百件の規模でおこなわれているらしく，彼の活動が順調に実を結びつつある感じである．なお，帰りは駅まで一緒だったのだが，実は高木さんは料理が得意で，よく作っているらしい…意外（笑）

最後に，大山恵弘先生の「仮想化技術とセキュリティ」は，本人が冒頭で言っていたように多少こじつけ的な感じがあるのかと思ったが，非常に興味深かった．Virtual Machine技術は古くから存在するが，現在ではVMware，XenやJava VMなど，広く普及し，重要な地位を占めるようになってきた．しかし，今までの方向性というのは，x86プロセッサが仮想化に対して抱える大きな問題をどのように解決するのか，そしていかに仮想化によるオーバヘッドを減らして高速実行させるかについてであった．しかし，前者はハードウェアレベルで解決されるようになり，後者は現在でもかなり満足なレベルまで到達している．そこで，今後はリソースの仮想化やセキュリティ，運用管理の向上のために，これらのVM技術の方向が変わっていくのではないかということらしい．最近は，確かに従来の大型計算機が持っていたような仮想化技術の（再）実現が盛んであり，またJava VMも運用やチューニングの容易化が考えられつつある．数年前から，私の昔の同僚（すでに大学に転職（苦笑））がセキュリティの観点から同様の研究を進めていたりしたのだが，彼の方向性は正しかったことが証明されようとしているのだろう．

なお，この講演では，次の本が紹介されていたので，さっそく注文してみた（残念ながらまだamazon.co.jpには登録されていないようである）．

Jim Smith, Ravi Nair: Virtual Machines: Versatile Platforms for Systems and Processes (The Morgan Kaufmann Series in Computer Architecture and Design) , Morgan Kaufmann, 2005.

ところで，私は自分の研究関連の書籍や論文を読むのですら，アップアップの状態だ（泣）．kyukaとかは，忙しい中でもいろいろな本を読んでいるが，本当にすごいなあ…．