EL TIO

10月19日から21日まで岡山で開催された「コンピュータセキュリティシンポジウム 2010」（CSS 2010）に参加してきました。

今回は私自身が登壇して話したのが2件（ナイトセッション含む）、そして学生さん（社会人学生含む）の方が登壇したもので私が共著に入ったものが2件。以下その一覧です。

• 「RFCに準拠したIDベース暗号のTLS適用とOpenSSL, Apache HTTP Serverへの実装」祝拓也，金岡晃，岡本栄司
  
• 「確率的パケットマーキングにおける最適マーキング確率の推定」岡田 雅之，金岡 晃，勝野 恭治，岡本 栄司
  
• 「ネットワークセキュリティ業界における産業と学術のギャップに関する一考察」 金岡 晃
  
• 「人体に潜む脆弱性の検査手法」金岡 晃　（＊これはナイトセッション）
  

その中から「ネットワークセキュリティ業界における産業と学術のギャップに関する一考察」の紹介をします。

この論文は、これまでに私がこの業界での産学ギャップ解消に向けて取り組んでなかで得られた議論の紹介とその解消に向けた考察をしたものです。特に4月と7月に行った「JNSA 学術界とのギャップ解消検討BoF」で得られた議論の紹介を中心に行いました。論文とスライドを公開しております。よろしければご参考ください。またBoFについては本ブログで紹介していますのでそちらもよろしければご参照ください（第1回、第2回）。

会場からの意見としては以下のものがありました。

• John Viegaの「セキュリティの神話」という本の44章にいかに学術がダメかが書いてあるから参考にしてみては
  
• 産と学という2つのプレイヤーだと対立軸になるのでそこに官を入れてみては？
  
• 「ギャップ解消に向けての考察」のそれぞれについて、今度は「誰がそれをやるべきか」という考察を進めていくと良いのでは
  

これを参考に少しまた掘り下げていく予定です。また他のアプローチも少し考えておりますので、そのときにまたご紹介できればと思います。

UPKIのサーバ証明書プロジェクトで取得したサーバ証明書のIISへのインストールは、インストールマニュアルでは5.0と6.0だけあり、7.0や7.5についての注意点などはない。

たしか春くらいに証明書発行をしてもらい、MSのWindows Web Server 2008（IIS 7.0）に載せることができたのですが、6.0とのインストール時での違いなどは触れておりませんでした。今日、twitter経由で「IIS 7.0で設定するときの注意点などあれば教えて！」というリクエストをいただきましたので、当時取っていたメモを貼り付けます。

結論から言ってしまうと

• IIS 6.0用マニュアルベースでいい
  
• CA証明書インストール時に、証明書ファイルをダブルクリックするのではなく、mmc.exeを使って入れないと失敗する
  

です。

ということでメモ貼付。

まずルート証明書の確認
　IEを開いて
　ツール→インターネットオプション→コンテンツ
　　→証明書。

　で、
　信頼されたルート証明機関タブに
　「Security Communication RootCA1」があるかどうかをチェック。

　ない場合
　　・証明書の取得
　　　https://repository.secomtrust.net/SC-Root1/
　　　から証明書をダウンロード。
　　・インストール

mmc.exeを使う。
　ファイル名を入力して実行で、mmc.exe
ファイル→スナップインの追加と削除
　「証明書」を選択して「追加」ボタン。
　　　→コンピュータアカウント、を選択
　　でOKボタン

　証明書タブの「信頼されたルート証明機関」を右クリック
　すべてのタスク→インポート
　
　ウィザードが開始される

　ルートファイルを選択して、ストア配置のところは
　　・物理ストアを表示する
　　　→信頼されたルート証明機関→ローカルコンピュータ
　　

中間証明書のインストール
　まず証明書を取得
　https://repo1.secomtrust.net/sppca/nii/odca2/

　インスコはmmc.exeを使って。
　起動して、左ペインに「証明書」があったらさっきの「スナップインの追加」はしなくていい
　
　証明書タブの「中間証明機関」を右クリック
　すべてのタスク→インポート

　ウィザードが開始される
　中間証明書のファイルを選択して、ストア配置のところは
　　・物理ストアを表示する
　　　→中間証明機関→ローカルコンピュータ


サーバ証明書の設定
　IISマネージャ
　→マシン名選ぶ
　　→サーバ証明書選ぶ
　　　→インポート

　→サイト→Default Web Site
　　　右側にある「バインド」をクリック
　　　→追加
　　　　→種類：https
　　　　　IPアドレス：未使用の・・・
　　　　　ポート：443
　　　　　SSL証明書で、さっきの証明書を選択
　　　
　　　右側にある「Webサイトの管理」で再起動

お役に立てばいいのですが…

4月に日本ネットワークセキュリティ協会（JNSA）さんで「学術界とのギャップ解消検討BoF」を開催させていただきました。私自身がネットワークセキュリティでの学術と企業（産業）側のギャップを感じていて、そこを埋める話ができないか、ということで場を設けさせてもらったものです。このブログでもその様子をまとめました。詳しくはそちらをご覧ください。

そして昨日（7月13日）、日本ネットワークセキュリティ協会（JNSA）さんで「第2回学術界とのギャップ解消検討BoF」を開催いたしました。第1回に参加できなかった方や、より多くの学術の方をお招きして、再び議論をさせていただきました。個人としては成功だと思います。参加する方の違いで議論内容も大きく変わったことが大きな理由です。

参加していただいたのは全部で16人。そのうち学術サイド（というよりはJNSA会員でない方）が私含めて6名。前回も参加していただいた方は私含めて4名、という構成でした。


まず私から前回のまとめと私自身のギャップ解消の考察を述べさせて頂き、
その後自己紹介がてらそれぞれのお考えを聞き、そしてフリーディスカッションへ、と流れていきました。ギャップの背景は当然純粋な技術的問題ではありませんから、議論が白熱するとあらぬほうに流れ出したりしたのですが、みなさま様々な背景と課題を持って、日頃から考えてらっしゃるのだなということを強く感じました。私の資料は私のWebページに公開しています。

以下、いくつか議論などで出てきたポイントをまとめました。ブログ掲載に関しては参加者のみなさまから個人名や所属組織名を出さないことを条件にお認めいただきました。
また幾人かのご意見をまとめたものもありますので、1つ1つがある個人の発言や意志というわけではございませんのでご注意を。

・ギャップ、あって良いじゃないか。
・学術は別に産業にしっぽを振らなくていい。
・ギャップがあった方がモチベーションが高まる。そもそもギャップを埋めたいモチベーションが不明。
・国はギャップをどう思っているのか？
・あえて歩み寄る必要はない。お互いの良い部分を殺すようじゃ駄目だ。

・理論と実践のサイクルをまわす場が必要。これはJNSAでも。作って終わり、ではだめ。そしてその「場」も形骸化してはいけない。形はなんでもいいので「場」が必要。
・「人材交流」という名のもとの動きはあるが、形骸化してる
・産と学、じつはそれぞれの中での連携もうまく行っていない。中できちんと連携することも重要。

・産と学、それぞれがGoogleの「20%ルール」のようなものを持ってもいいのでは？

・暗号2010年問題はまさに産学ギャップ。

・とある製品に関係していたときに、学術の研究会に行って驚いた。その製品がすでに実現しているようなことを、研究会で発表されていた。これはいけないと感じた。

・企業の中はブレイクスルーがおきにくい状況にある。学の中で新しい種がみつかり、相乗効果になれば。

・MWSはアンチウイルスベンダからみてもおもしろい発表がある

・ホワイトペーパーを出す側として。学術がそれに触手を伸ばしてもらえれば。

・日本独自の技術でできることがいっぱいあるのに、アメリカからばかり持ってきてる。日本は駄目じゃないのに。

・産学共同でやる場合の知財取り扱い。
　→大学側はここ数年で良くなった面はある
　→でも議論する前に唐突に「NDA結んで」って言ってくる先生がいたんだよ


・大学発で起業してしまえば？成功例が少ないのだろうが、研究者が直接的に産業側にやってくる構図も。そうすると企業とのネゴがやりやすくなる。
・日本の場合萎縮する。完璧主義というか。「失敗＝悪」で「まぁ次がんばれよ」という文化がない。マスコミが誉めないということもある。
・企業にとって身近な脅威となる大学発ベンチャーがでれば企業も刺激に。「ほっとくとやばそう」と思わせる
・日本人のメンタリティである「額に汗して働け」ということが阻害していることもあるか
・草食系が多い。危機的。
・業界のカリスマ不在。「俺の言うとおりやっていればいいんだよ！」と言い切れるような。
・

・教育と産業のギャップ。即戦力が求められ、それに対応する大学という側面がある。現場の人を育てるのにはいいのだがそれで良いのか。
・インターンシップ。インターン生にFitする仕事を探すことが難しい。そのためお客さんのような扱いになるケースがある。

・学術のやる「最高のセキュリティ」。最高とは？安全性だけじゃないよ。コストと利便性を含んで「最高」じゃないと。
・研究者の「完璧」はスタートポイントの完璧。10年それを使う・運用するという中での「完璧」ではないし、そういう目線がない
・現在成功しているベンダの強みは製品の継続性。例えばシグネチャ管理とか運用など。
・セキュリティは「技術」と「運用」と「法制度」のバランスが必要。

・品質。日本のは高く海外のは低いところがあるが、「完璧なんだけどお金にならない（売れない）」と「そこそこだけど売れる（動く）」だったら後者が売れる。しかもその後者のほうにちゃんとビジョンがあれば。

・前回議論で「白浜や湯沢にJNSAがリーチしていくほうが」というものがあったが、白浜や湯沢はアカデミアの方も来ているがアカデミアの論理では動いていない。むしろアカデミアの参加を増やしていく方がギャップ解消という目線では良い。
・コミュニティの形成の面で言うと、「学生-教員間」の密なコミュニティも必要

・ギャップを埋めるのは誰だ？（to 「ギャップあっていいじゃないか」な人たち）
　→埋めるモチベーションがないのでいらない
　→多様性を認めることの重要性。大学はイキきった（ピーキーな）人がいる場所でいいじゃないか。
　→ギャップの間に、ポチポチと人がいれば美しい形なのでは
　→埋める行為そのものは企業。だけど企業が埋めたくなるネタが必要


今回の大きな特徴は「ギャップあっていいじゃないか」という意見の方がいらっしゃったことだと思います。また「多様性」というキーワードも出たように、学術でも産業でもそれぞれで突き詰めたことをやる人がいる一方で、その間にいる人たちがあることが美しいという意見もありました。まさにそれはそう思います。しかし、現在はその「間」、まさにギャップの場所に生きることが難しい（仕事の業績として認められない）社会であるというのが私の持論です。仕事の業績として認められなくても、馬力で、その間を埋めるあるいはその間で生きるという方はいらっしゃるでしょうけれども、それはまさに「肉食系」であって、世の中すべてが肉食系であらねばならないというのも違う気がしていて、「草食系」のような方でも入ってこれるような環境に持っていくことが重要なんじゃないかと思っています。
やはり議論は尽きることがありませんでした。
どういった形になるかはまだ判然としませんが、こういった活動はこれからも続けて行こうとおもいます。
また、前回と今回の議論のまとめや、私自身がおもうギャップとその解消に向けての検討をあらためて整理して、10月に開催される「コンピュータセキュリティシンポジウム」で発表する予定でいます。

ご覧の方でご意見がある方はどんどんおっしゃってください。コメントをしていただければと思います。または私のTwitterアカウント「akirakanaoka」に対してつぶやいていただいても全くかまいません。

---

そして早速（というか私のこのエントリより前に）、4403さんがご自身のブログで今回の点に触れておられます。非常におもしろい目線です。我々の仲間内で考えている「そこそこのセキュリティ」の重要性については今回の私のプレゼンでも触れましたが、それについての考察がされています。

・4403さん JNSA 第2回学術界とのギャップ解消検討BoF

＜追記＞
ゲリッピーさんからご意見をいただきました。SNS、確かに考えるところもあるのですが何をどうソーシャルにすべきかを悩んだりしています。悩まずに走ってしまえばよいのかな？

・ゲリッピーさん JNSA 第2回学術界とのギャップ解消検討BoFへの意見

＜さらに追記 7/15＞
Twitterでたくさんご意見をいただいています。

まずこの取り組み全般について、msaitotypeRさんより

msaitotypeR 正直に言うと、うまく行った時の姿がまったく思い描けない。想像力不足？ お互いにやってほしいこととやりたいことのギャップだけなら、問題、課題の共有から滑り出せば何かの形になる気がするけど @akirakanaoka 昨日のBoFへのご意見をいただきました

akirakanaoka @msaitotypeR 個人としては、自分が出したもので事業して儲けてほしいです。も少し広い話だと、国内学術の成果がそんなに無理なく国内産業に流れていって、海外技術や製品に立ち向かえる、といい形なのかなと思っています。後者を進めるには、まず事業化成功例が欲しいなと思います

msaitotypeR @akirakanaoka とすると、やはりテーマドリブンで進めたほうがよくないですか。「産学ギャップ解消」って命題だと、「理学と工学のギャップ解消」と同じくらいに聞こえます。同じ手法で評価される分後者のほうが現実的に思える(BoFでないで勝手なこと云ってます)。

akirakanaoka @msaitotypeR なるほどテーマドリブンですか…。たしかに大きすぎるというかボンヤリしていて現実的な落とし所が見えない状態ではありますね。参考にさせていただきますありがとうございます！

masahikokatohさんより。ギャップあっても良いというご意見。

masahikokatoh @akirakanaoka 学術と産業なんて長距離走と短距離走くらい違うのでGAPはあって当然ですよね、というのが一つ。

masahikokatoh @akirakanaoka で、企業で時間のかかる基礎研究とかをやるとかいうのはこのご時勢なかなか難しいので、そこは学術にふんばって欲しい、尻尾振らなくてもいいというのはそんな感じ。

masahikokatoh @akirakanaoka あと、個人的には、学術サイドって何のために研究してるんですか？というのは聞いてみたいかなー。自分の研究を事業化しようと思って、もしくはそれがどう現場で使われるのかを想像してやってる人はどのくらいいるんだろう？

そして今回私からの資料に掲げた「そこそこセキュリティ」の話。いろいろとご意見が。shokohitsujiさん、takafumi_iさん、aho1goさん、expl01tさん、msaitotypeRさんから。

shokohitsuji セキュリティ機能を求めるならセキュリティ要件を明確にすべき。そこそこセキュリティは「セキュア」でなければ本末転倒。安全っぽい仕掛けだけ作って「ほら安全そうに見えるでしょ？」と主張されても困る。

akirakanaoka @shokohitsuji 「安全そうに見えるでしょ」ではなくて「ココに必要な安全レベルってこれ位ですよね、したらこんなオーバースペック求める必要ないんですよ、これくらいのそこそこの奴で十分ですよね」を提供したいのがそこそこセキュリティです。なので(つづく)

akirakanaoka @shokohitsuji (つづき) おっしゃるようにセキュリティのしかも安全性レベルの要件をしっかりとする/させることは肝心なところだと思います。これがブレると「そこそこ」が「適切」でなくなってしまい崩れてしまうので。

shokohitsuji @akirakanaoka 私も鋼さんのおっしゃる通りだと認識しています。この業界にいる人間の共通認識だとも信じています。確認のためにツイートしました。

そして「そこそこセキュリティ」って何よ？ということを定めていかなくてはという流れに。（つぶやきの時系列はあっていませんが、文脈をそろえました）

akirakanaoka そこそこセキュリティ、ちゃんと意味合いをはっきりさせないといけない段階に来た気がします。

takafumi_i @akirakanaoka 私にとって「そこそこセキュリティ」の定義は、「顧客のビジネス要件を前提に経済的合理性のあるセキュリティ」です。仕事でやっているのは、大体みんなそうですが・・・。

@takafumi_i ビジネス要件と経済的合理性。なるほどです。「そこそこセキュリティ」と言ってはいるものの、「何に対してそこそこか」「なにがそこそこか」などは合意がきちんとしているわけではないので、しっかりまとめてみることが必要ですね。

msaitotypeR 1次元の評価軸つくって下限と上限を設定し、その間に居ることと定義してみる。問題は下限に対して上限がイメージできないことと、今どこにいるかを把握できないこと かな。@akirakanaoka そこそこセキュリティ、ちゃんと意味合いをはっきりさせないといけない段階に来た気がします。

---

aho1go @akirakanaoka 小型人工衛星業界では，「ほどよし信頼性工学」というのが提唱されています．そこそこセキュリティに通じると考えています．

takafumi_i @akirakanaoka そういう意味では、「可用性」、「保守性」、「運用性」、「セキュリティ」、「信頼性」などのいわゆる非機能要件は、みんな「そこそこなんちゃら」になりますね。Cloud Computingの分散データ処理でいうところのBASEも「そこそこ一貫性」みたいな。

---

expl01t @akirakanaoka [ac] あ！Charter書いてって言ってなかった気がする．最近立ち上げの場面に出くわしたら必ず「重要だから早めに！」って言ってるんだけど．Charter重要．これ見て協力したくなるかどうかが大きく変わると信じてます．

akirakanaoka @expl01t charter把握。IETFのWG Charterみたいな感じですかね。 http://rfc-jp.nic.ad.jp/rfc/rfc1603.txt

expl01t [ac] まさにその通りです．よーく見るとタイムスケジュールがあったりしますよ．これ重要 RT: @akirakanaoka charter把握。IETFのWG Charterみたいな感じですかね。 http://rfc-jp.nic.ad.jp/rfc/rfc1603.txt

＜さらにさらに追記7/19＞

参加してくださっていたtohkiさんがブログエントリをあげてくれました。お互いの知識欲求を提供する場、重要だと思います。

・tohkiさん JNSA 第2回学術界とのギャップ解消検討BoF

セコムIS研究所の葛野弘樹さんが監訳をされている「セキュリティの神話」を
献本いただきました。

これはMcAfeeのJohn Viegaの作。McAfeeの前副社長で現在はSaaS部門のCTOであるだけあってアンチウイルス系の話は深かったですね。ただ、アンチウイルスなどマルウェア関連の話だけでなくかなり広範なことが書いてあります。

触れている話題は、アンチウイルスソフトウェアは当然のこと、IDS/IPSやVPNなど技術的な話が入ったり、MITMやフィッシングなど攻撃に関する話や、セキュリティのコストや攻撃のコスト、パスワードと認証、MicrosoftやGoogle、シュナイアーを信じすぎる人への警鐘、セキュリティの業界、などなど。

ですので章立てがすごくて、なんと45章まであります。ただ各章が10ページに満たない程度となっていますのでコラムとして読むのが正しいと思います。いっぺんに読むと逆に話があちこちに行きすぎてよくわからなくなるかと。私は読んでいて著者がどこに向かいたいのかわからなくなりました…。

全般的には、普段いろいろなニュースをチェックしている情報セキュリティ技術者の方にとっては「なるほど。こんなもんか」と思われる内容が多いでしょう。逆にまだ技術者になって日が浅い方なんかは読むと広く知識を得られるものになるのではないでしょうか。その点オススメです。私もこの本は研究室において学生たちに読むように勧めるようにしています。

いくつかおもしろかったところを挙げると、第30章「『責任ある開示』は無責任」で、「完全開示（full disclosure）」から「責任ある開示（responsible disclosure）」への移行に関する話の中で、責任ある開示でもまだ問題があり、「スマートディスクロージャ（smart disclosure）」を提案しているところ。しかも予想される反論まで書いてある。全体の中でもかなり力を入れている部分であることがうかがえました。あとDan Kaminskyのことが触れられていたところで途中「Daminsky」になっていたところは笑いました。（たぶん翻訳時のミスだと思いますが）

第44章「セキュリティ業界」では2つのことが書かれています。まずは「セキュリティの業界は『オープン』？」。セキュリティの業界はオープンであると言われるけどその中でもアンチウイルス業界は違う、と。シグネチャはそれぞれ独自に作るし、などなど。これは私もそう思います。アンチウイルスの業界は、情報セキュリティの業界内でもちょっと異色だと思っていました。ネットワークを使うサービスなんですが、サーバとクライアントがベンダ固定でクローズドなサービスになっていますよね。

そしてもう1つが「研究者とビジネス」。実際にビジネスになっているものと研究者がやっているものとのギャップについて、です。私自身もその解消にむけた検討を始めていますが、やはりギャップはあるか、と再確認しました。そしてなにより驚きだったのが「我々がとっくに実用化していた技術が何年後かに『再発明』され、論文に書かれているような有様だった」という一文。学術のほうが遅いというケースがあるという事があるのかと驚きました。日本でも同様のケースがあるのならぜひ教えて欲しいところです。


つっこみどころもいくつかありました。
まずパスワードとかCAPTCHAについて批判的に話をしているけれども認証が必要とされるシステムの価値についてはあまり触れられていない。
あと33章「HTTPSは排除すべし」は間違いだと思います。SSL/TLSのサーバ証明書に問題があるときのダイアログを見たって一般人にはなんのことやらわからない。証明書の中身をみたってなんのことやらわからない。だからHTTPSはダメだ、という論旨なのですが、これはHTTPSのダメさではないですよね。インターフェースの問題点だったり、ユーザに対する信頼の考え方をどう教えるかという話だと思います。
またMITM（Man In The Middle）はあまり現実的でないという主張に対して著者は「そんなことない。ARPポイゾニングがある」と言っていますがそれもあまり現実的な脅威ではないと思います。

最後は少し批判的になりましたが、全体としては広くいろいろ書かれており、最初に書いたようにセキュリティ技術者になって日の浅い方など技術と業界を俯瞰されたい方にはとても良いのではないでしょうか。なかなかおもしろかったです。

昨日、日本ネットワークセキュリティ協会（JNSA）にて「学術界とのギャップ解消検討BoF」を開催いたしました。開催にご協力いただいたJNSAのみなさま、ありがとうございました。

ネットワークセキュリティでの学術と企業（産業）側のギャップを感じている中、そこを埋める話ができないか、ということで意見交換をできる場を設けようと考えました。まずJNSAの方にご相談させていただいたところ快く承諾いただいたので、学術からの参加者を募るべくコンピュータセキュリティシンポジウム（CSS 2009）のナイトセッションでプレゼンをし、その後暗号と情報セキュリティシンポジウム（SCIS 2010）で「DoS/DDoS攻撃対策に見る学術界と産業界のギャップ」と題した発表をさせてもらいました。

そして昨日4/15日、BoFとして開催させていただきました。

私をふくめ参加者は全部で15名、学術サイドは3名、企業サイド（社会人学生さんのような立場、パブリックセクタ兼業の方も含む）は10名、あとパブリックセクタからも1名、そしてJNSAの方（そういえばこの方も企業の方だった・・・）。また都合で不参加になってしまった方からコメントもいただきました。BoFは、まず私から開催目的とモチベーション、背景などをプレゼンさせていただいて、その後議論をいろいろとさせて頂きました。

私のプレゼン資料は私のWebページに公開しておりますのでよろしければご覧ください。

ここでは、プレゼン後の議論で出た話題をいくつかご紹介させていただきます。
（参加のみなさまに許可いただきました）

・カナダの大学が「中国のグループがダライ・ラマの情報を盗んでいた」と発表したが、日本ではそういうようなケースってあるのかな？
　　→WEP解読はそれと近いかも。

・産官学での人の行き来、これができれば良いのでは。米だとそのケース多い。

・学校側は、業績評価の圧倒的なメインは「論文数」。論文を書いていればご飯が食べられる。そうやって割り切っている人はいるだろう。

・企業側でも、学術の研究会を聞きに行くことに会社からお金が出ないことがある。

・産学ギャップ、欧州や米国では少ないけど成功例があるだろう。そこから学ぶこともあると思う。そして、それをそのままやるのではなく「日本モデル」を作り上げるべき。

・法的側面の検討に関しては、学術でも別のグループがある

・ギャップは日本自体の問題では。学校側の既得権益と、企業側の既得権益。ここを結ぶインセンティブがない

・学校はなぜ企業に売り込みに来ないのだろうか？

・法的側面を最初から考えるのは難しい。結局判例がでるまで決まらないものだから。

・学術の情報は、企業側には届いていない。どこを見れば良いのか・・・。
　　→プレスとかを打つほうが良い？
　　　　→メディアはあまり。メディア自身も欲しい情報しか得ないし出さない。
　　　　→大学もなかなかプレスは打たない。

・自分の経験。ネットワーキング（注：人と人との繋がりだと思います）は重要。先頃まで米国にいたが、米国では学振の学生があつまって、1.5hで40-50人が発表する。西海岸と東海岸、どちらでもやっていた。そこには企業（シリコンバレーとか）の人もいっぱい。その後、パーティー。そういうイベント（エキシビション）がある。そこで数件成約していた。

・キーマン探しが重要では。白浜や湯沢にJNSAがリーチしていくほうが良い？

・大学院教育と産業とのギャップは、この業界だけでなく近年では全体の問題。

・MWS、参加したがアンチウイルスベンダが私しかいなかった・・・。

・大学がIDSやマルウェアを研究しようとしたとき、大学環境の中でしか試すことができない。より広い環境や、共通のデータなどが得られない。MWSがデータセットを配ってくれたことにより、マルウェアの方面では共通の土台で議論ができるようになってきた。

・マルウェア検体、渡すのは難しいが・・・。欲しいという気持ちはわかる。

・日本で、ベンチャー立ち上げ→大企業買い取り、ってケースある？

・基礎研究部隊と技術サイドの、議論前提の違い。基礎研究部隊は「きれいなシステム」「まっさらな世界」を前提に提案をしてくるけど、技術サイドは「既存技術」を捨て去ることができない。既存技術に追加されることがベスト。

・ネットワークセキュリティは、専業としてはパイのサイズが縮んでいくのでは。システムやネットワーク、そういったものの1つの要素として存在する方向なのでは。

・セキュリティは品質要件の1つ。その他の要件はたとえば、パフォーマンス、検索性、コストがある。

・学術と産業のギャップ。中間を担う組織が必要では。現状では適切な組織があるのか？



全般的な議論としてはやはり「情報の行き来は決定的に不十分」、という認識を持ちました。
たとえば「学術のやっていることが見えない」、これは学術のアウトプットの仕方が論文がメインであり、論文として仕上げた内容を他にもアウトプットするインセンティブがないからだと思います。
また「前提条件の違い」は、企業側から十分な前提条件が与えられていないという背景もあるでしょう。

まずはこのあたりの解消ができれば良いかと。具体的な動き方については、腹案（！）はあるものの
昨日の今日なのでまだ検討中ですが1歩目を踏み出せればと思います。

このエントリや私の資料をご覧になったみなさまで、ご意見があるかたはぜひコメントをしていただければと思います。または私のTwitterアカウント「akirakanaoka」に対してつぶやいていただいても全くかまいません。

---

＜追記：2010年4月22日13：24＞

その後、いくつかコメントいただきましたのでご紹介など。

4403さん JNSA 学術界とのギャップ解消検討BoF

つまりは，産業界に技術を売りに行くのはごもっともだが，売りに行っても買ってもらえる代物がない！というのが現状で，買ってもらえるようにしたいんだけど，産業界が求めるものが全然解らないよ！というのが学術界の本音だと思う．そこを埋めたいねというのが，このギャップ解消の根底にあると思う．学術界としても論文を世に出すだけが社会貢献・社会奉仕ではないと当然考えているだろうし，産業界に貢献できるような研究ができれば，よりよいと考えているだろうし，それは最終的にWin-Winの関係に結びつくのではないだろうか．

おっしゃるとおりで、産業が求めるものが学術まで届いていないという面はありますよね。一方で、産業側に学術成果が届いていない、また見つけづらいものなのだ、という認識を今回のBoFで得ました。そこらへんがまず埋めていきたいところです。

horiyoさんからTwitterでコメントいただきました。

horiyo @akirakanaoka 接点において、お互いに利益（論文数、利益）を求めずスタートする余裕が必要。接点じゃない部分は、接する人がうまく説得（何しろ許してもらえればよい）。

akirakanaoka @horiyo なるほどです。利益を求めず接する余裕については、個人としての利益（お給料、業績）に紐付かせてあげられれば、ボランティア精神じゃなくても接することができるのかな、と考えています。

horiyo @akirakanaoka 「今は、紐付いていなくても、まあなんとか、将来紐付けばいいなっ！」位の余裕があるか、ないか。

akirakanaoka ！確かに…！余裕持ちたいですね。偉くなって紐付け側にまわりたいです！RT @horiyo: @akirakanaoka 「今は、紐付いていなくても、まあなんとか、将来紐付けばいいなっ！」位の余裕があるか、ないか。

takefumi_iさんからのコメント

takafumi_i @akirakanaoka 短期的な利益は求めなくても、「先々なんか良いことあるかも？」ぐらいでないとモチベーションは維持できないですよね。学術界にも期待していますが、実際に役立つのはベンダーのホワイトペーパーだったりします。

akirakanaoka @takafumi_i コメントありがとうございます。ホワイトペーパーは学術から見ても、研究の背景としても重要だと考えています。産業・企業ニーズの現れの場として、もっと増えてくれると嬉しいのですが、なかなか多くは出してもらってない状況だと思っています。

expl01tさん Re: JNSA 学術界とのギャップ解消検討BoF

民の立場ですごい横柄な言いっぷりをすると「顧客ニーズを教えてあげる．それを解決する要素技術を研究してくれるなら，それを使ってあげる」ということになる．学から見ると「なにをぉー」ということになるんだろうけど「産業界の大半はギャップ解消を望んでいない（解消すればいいけど別に今のままでもいいよっていう意味）可能性が高そうな気がする」っていう意見はこの意識から来るものなのかもしれない．

「なにをぉー」となる人がいていいと思います。一方で、「なにをぉー」と思わない人も必要で、「顧客ニーズ！欲しい！」と思っている学者もいますよ、ということを声高に言いたいです（私ですが）。産業ニーズではなく「あるべき論」で研究を進める研究者も必要ですし、産業ニーズにきちんと答える研究者も必要。いまは産業ニーズが届いていないので、「あるべき論」型の研究が主流なのかと思っています。

DDoSを例にして
・学はすごいたくさん研究成果出してる
・民が実装してるのは超単純なやつでワロス
という解釈をされていたのがちょっと気になります．学の提案する方式が実用的で実装可能かどうかについては触れられていません．言い換えると，顧客ニーズに対応したソリューションではないから民は使わない，という可能性は無いのだろうか？

これは私の資料が悪かったです。「民が実装してるのは超単純なやつでワロス」という意識というよりは、「こんな一杯の論文出しているのに全然使われてなくてﾊﾞﾛｽ」「ニーズわかっていない可能性ｗ」という意識で資料を作ってました。「顧客ニーズに対応したソリューションではないから民は使わない，という可能性」は高いと思っています。

先日、とあるところでクラウドコンピューティングのセキュリティに関する集まりがあったのですが、そこに参加された方の多くが米NISTのクラウドコンピューティング の定義を参考として見ているという反応がありました。

短い文章なので和訳してみました。PDF も用意しました。問題点があれば指摘してくだされば、と思います。twitter だとより早く反応できます。

---

NISTによるクラウドコンピューティングの定義
著者：Peter Mell、Tim Grance （日本語訳：金岡 晃）
Version 15, 10-7-09

NIST（米国標準技術局）、ITL（情報技術研究所）

注１：クラウドコンピューティングは発達中のパラダイムである。その定義やユースケース、基礎技術、問題点、リスク、利益は、公的部門や民間部門による活発な議論により改良されていくであろう。

注2：クラウドコンピューティング産業は、多くのモデルやベンダー、そして適した市場からなる巨大な生態系（エコシステム）を示している。本定義は様々なクラウドへのアプローチのすべてを包含することを試みる。

クラウドコンピューティングの定義

クラウドコンピューティングとは、設計可能な計算機資源（ネットワーク、サーバ、ストレージ、アプリケーション、サービス）の共用備蓄所（Pool）へ、簡単かつオンデマンドにネットワークアクセスすることを可能にするモデルである。それらの計算機資源は、少ない管理量とサービス提供者との作業量でありながら即座に供給され公開することができる。このクラウドモデルは可用性を促進するものであり、5つの本質的な性質と3つのサービスモデル、そして4つの配備モデルから構成される。

本質的な性質
オンデマンド セルフサービス：
各サービスプロバイダの人を介した作業が不要であり、必要に応じて消費者がコンピューティング性能（サーバタイム、ネットワークストレージ等）を供給されることが可能である。
幅広いネットワークアクセス：
コンピューティング性能はネットワークを通じて利用可能であり、標準的メカニズムを通じてアクセス可能である。それにより様々な種類からなる計算能力の低いプラットフォーム（携帯電話、ラップトップPC、PDAなど）による利用を促進する。
計算資源の備蓄所（Pool）：
サービス提供者のコンピューティング資源は、同時借用者モデルを使い複数の利用者へ提供するために備蓄されている。そして異なるリソース（物理的・仮想的ともに）が利用者の要求に応じ動的に割当や再割当がされる。所在地の独立性という感覚があり、利用者は一般的に提供された資源の正確な所在地の知識はなくその管理はできないが、抽象化された高いレベルでの所在地（国や州、データセンターなど）を特定することはできる。ここでの資源の例には、ストレージ、処理能力、メモリ、ネットワーク帯域、仮想マシンが含まれる。
迅速な伸縮性：
計算能力は、速いスケールアウトのために迅速かつ弾力的に供給され、また速いスケールインのために迅速に解放される。またそれらは時に自動的に行われる。消費者にとっては、供給可能な計算能力は多くの場合無限に見え、いつでもどの量でも購入することが可能である。
測定されたサービス：
クラウドシステムはサービスタイプ（ストレージ、処理能力、帯域、有効利用者数等）に適した抽象化レベルで計算能力を測り、それにより計算資源の利用を自動的に管理・最適化する。

サービスモデル
Cloud Software as a Service (SaaS)：
クラウド基盤上で稼働するサービス提供者のアプリケーションがあり、利用者はそれを利用できる。Webブラウザのようなthinなクライアントインターフェースを通して、様々なクライアントデバイスからアプリケーションはアクセスができる（例：Webメール）。利用者はクラウド基盤の基礎的な部分（ネットワーク、サーバ、OS、ストレージ、個別のアプリケーション性能を含む）の管理・制御は行えず、限定された利用者特定のアプリケーション設定だけを行うことができる。
Cloud Platform as a Service (PaaS)：
サービス提供者によりサポートされるプログラミング言語やツールを用いて、利用者側で作成または用意したアプリケーションを、利用者はクラウド基盤に配置することができる。利用者はクラウド基盤の基礎的な部分（ネットワーク、サーバ、OS、ストレージを含む）の管理・制御は行えないが、配置したアプリケーションの制御と、場合によってはアプリケーションをホストする環境の設定を制御することができる。
Cloud Infrastructure as a Service (IaaS)：
OSやアプリケーションを含め、利用者が任意のソフトウェアを配置し実行可能にする処理能力やストレージ、ネットワーク、あるいは他の基礎的な計算機資源を、利用者は供給されることができる。利用者はクラウド基盤の基礎的な部分の管理・制御は行えないが、OSやストレージ、配置したアプリケーション、さらに場合によってはいくつかのネットワーク構成（ホストふぁあうぉールなど）の限定された制御を行うことができる。

配置モデル
プライベートクラウド：
単一の組織によって運用されるクラウド基盤。その組織あるいは第三者によって管理され、自社運用型（on premise）と他社運用型（off premise）が存在する。
コミュニティクラウド：
複数の組織により共用されるクラウド基盤であり、共通した利害関係（ミッション、セキュリティ要件、ポリシ、コンプライアンス検討）を持つ特定コミュニティを支援するクラウド基盤。その組織群あるいは第三者によって管理され、自社運用型（on premise）と他社運用型（off premise）が存在する。
パブリッククラウド：
一般公衆や大きな産業体が利用可能であり、クラウドサービスを販売する組織により所有されるクラウド基盤。
ハイブリッドクラウド：
2つ以上のクラウド（プライベート、コミュニティ、パブリック）から構成されるクラウド基盤。それぞれは1つのクラウド実体ではあるが、標準技術や独自技術により結びつけられており、データとアプリケーションの可搬性を実現する（クラウド間のロードバランシングを行うクラウドバースティング（Cloud bursting）等）。

注：クラウドソフトウェアはクラウドパラダイムを活用したものであり、無国籍性や疎結合性、モジュール性、意味論での相互運用性に焦点を当てサービスに志向している。

最近、おおっぴらに、しかもまとめて書くようなことがあまりないな・・・という状況もあって。
twitterというものを始めてみました。

ボソボソとなにかを言っていると思います。
http://twitter.com/akirakanaoka

きょうの天気はとても良くて、筑波山がはっきりと見えます。
で、さらにすごいのが、遠ぉーーーくのほうの山々まで見えるくらい良いです。風が強いからだと思います。

あの山たちはなんて山？と思い、Google Mapで方角から探ってみると、たぶん、おそらく日光の男体山！方角と高さと、たぶんそうだと思います。写真では伝わりづらいと思います（携帯の写真なので）が、高い山が3つほど見えるのはたぶん男体山と、その周辺の大真名子山、女峰山あたりなのだろうと思います。

そこまで遠くが見えるってすごいですね。100kmは行かないまでも80-90kmくらいはありそう。

と、おもって見ていたら、さらに左側（写真にうつっていないほう）にカスミつつも見える孤立峰が・・・まさか群馬の榛名山？？そうなると100km以上遠いところまで見えていることになるますね・・・すごい。

今年の12月6-10日にAsiacrypt 2009 が東京の神保町（一橋記念講堂）で開催されます。私はそのお手伝いということで、Webサイトの管理をしています。みなさま是非ご参加ください。

今回、Webを作るにあたって各ページの最上位の画像表示に多少変化を加えたのでご紹介。
それぞれ違うページごとに画像が変えてあることに加えて、1分ごとに画像が変わるようになっています。
たぶん
画像のもととなっている写真は、筑波大暗号・情報セキュリティ研究室のBeuchatさん が撮っている写真 を使わせてもらっています。良い写真が多いのでとっても助かります。特に寿司の写真 は飛びつきたくなりますね。

この写真を撮った「蛇の目寿司」さんはつくばにあるのがもったいないようなおいしい＋おしゃれなお寿司屋さんで、他人事ながら「学生がたくさんいるような街なのに、高級感があって洒落た店・・・大丈夫かしら」と思ってしまいます。

ということでお寿司が食べたくなりました。

4月1日より異動になりました。

筑波大学大学院 システム情報工学研究科の助教、ということには変わりはないのですが、専攻が「リスク工学専攻」から「コンピュータサイエンス専攻」へと移りました。

4月からのメインの仕事は「ICTソリューション・アーキテクト育成プログラム 」の担当教員です。

ということで、居室も変わりました。
筑波山の眺めが最高の部屋です。今日は風が強いぶん、とてもきれいに見えています。





これからもよろしくお願いいたします。