危殆化(キタイカ):セキュリティ上の安全が脅かされ得る状態になることを危殆化という。その場合、直ちに対策をとって安全な状態にする必要がある。
2009年1月14日
株式会社KDDI研究所(以下「KDDI研」という。代表取締役所長:秋葉 重幸)と株式会社日立製作所(以下「日立」という。執行役社長: 古川 一夫)は、平成18年度から、独立行政法人情報通信研究機構(以下「NICT」という。理事長:宮原 秀夫)の委託研究として「ユビキタスネットワークにおける環境に応じたセキュリティプロトコルの自動生成・カスタマイズ技術に関する研究開発」プロジェクトを進めてきました。このたび、3年間の研究成果として、世界で初めて、利用環境や危殆化状況に応じてセキュリティプロトコルを動的に生成・カスタマイズするセキュリティ技術を開発しました。
【背景】
携帯電話やICカードなどの電子機器が様々な形で外部のネットワークに接続されるユビキタス社会では、ユーザが利用環境に応じて安全にサービスを利用可能であることが望まれます。また、サービスに適用されているセキュリティ技術が危殆化した場合には、安全対策を迅速に行うことが求められます。従来、セキュリティプロトコルはセキュリティの専門家によって時間をかけて設計され、また、様々な機器やサービスごとに個別の技術が用いられてきました。そのため、セキュリティプロトコルの危殆化への対策を迅速に施すことも、多種多様なサービスに柔軟に対応することも困難でした。
【今回の成果】
今回、委託を受けたKDDI研と日立は、利用環境や危殆化状況に応じてセキュリティプロトコルを動的に生成・カスタマイズするセキュリティ技術を世界で初めて開発しました。本技術では、通信機器の処理性能やネットワーク状況に応じて、セキュリティプロトコルを自動的に生成し、その安全性をリアルタイムに検証することにより、利用環境に最適なセキュリティプロトコルにカスタマイズすることができます。また、セキュリティプロトコル自体や使用されている暗号アルゴリズムが危殆化した場合、ICカードのような制約の厳しいデバイスであっても、別の安全なセキュリティプロトコルへ迅速に置換することが可能です。これにより、ユーザは単一デバイスで様々なサービスを受けることができ、サービス提供者はサービス変更に伴うコストの大幅な削減が可能になることから、安全かつ低コストでユビキタス社会を実現することができます。
【今後の展望】
本技術を利用した実証実験は、1月20日(火)~23日(金)に、滋賀県大津市で開催される「2009年暗号と情報セキュリティシンポジウム(SCIS2009)」内において実施される予定です。
<補足資料>
本技術の概要は以下のとおりです。
1. セキュリティプロトコル自動生成・最適化・高速検証手法
様々な端末が異なる環境下で相互に接続される際、最適なセキュリティプロトコルを動的に生成・最適化し、生成したセキュリティプロトコルの安全性をリアルタイムに高速検証する手法です。
2. セキュリティプロトコルコンパイラ及びセキュリティプロトコルのセキュアなカスタマイズ・実装方式
自動生成されたセキュリティプロトコルを解釈し、実行プログラムへと変換するためのコンパイラ機能及びそのままプロトコルを実行するためのインタプリタ機能を実装する方式です。また、実装するデバイスとして、メモリ容量面及び計算効率面の制約が最も厳しいICカード内に、セキュリティプロトコルモジュールを安全に実装する方式です。
3. プロトタイプシステム構築及び評価ユビキタスネットワークやICカードの利用を想定したサービスにおいて、項目1と項目2を統合したプロトタイプシステムをそれぞれ構築することにより、上記技術の機能及び性能評価試験を行います。なお、ICカードを利用するサービスとして想定したクレジットショッピングを行うデモシステムが、2008年11月4日(火)~6日(木)に、CARTES & IDentifications 2008において出展され、金融分野の企業から多数の意見を頂戴しました。
<適用例>
図1: KDDI研の研究成果の概要
本技術の適用例として、図1は動画コンテンツの配信サービスを想定しています。
まず、ユーザが動画コンテンツを試聴したい場合には、利便性を考慮して、安全であることよりも高速であることが要求されます。そこで、ユーザ端末とコンテンツ配信サーバ間において、安全性は低いが高速であるプロトコルを実行することにより、ユーザは効率良く動画コンテンツを試聴することができます(図1上)。
次に、ユーザが上記の試聴した動画コンテンツを購入したい場合、セキュリティの観点から、安全性の低いプロトコルをそのまま使用することは適切ではなく、安全性の高いプロトコルに変更する必要があります。しかしながら、従来技術では、ユーザ端末やコンテンツ配信サーバには個別にプロトコルが実装されているため、双方で使用可能な同じプロトコルに手動で変更しなければならず、自動的にもリアルタイムにもプロトコルを変更することができませんでした(図1中)。
それに対し、本技術を適用した場合、動画コンテンツを購入したいユーザ端末は安全性の低いプロトコルから安全性の高いプロトコルに自動的かつリアルタイムに変更されます。そのため、ユーザは効率良くかつ安心して動画コンテンツを購入することができます(図1下)。
図2: 日立の研究成果の概要
本技術の適用例として、図2はICカードの更新を想定しています。
具体的には、2010年以前に配布されたICカード(1024ビットの暗号アルゴリズムを使ったプロトコルが実装されたICカード)を使って、2010年以降に、新サービス(2048ビットの暗号アルゴリズムを使ったプロトコルを用いたサービス)を受ける際に想定されるプロトコル変更手順を示しています。
従来技術では、サービスの変更などに伴いプロトコルの変更が必要になった場合、ICカードの再発行及び再配布が必要でした(図2上)。
それに対し、本技術を適用した場合、サーバ側からの指示に基づいて自動的にICカード内のプロトコルが更新されるため、ICカードを再発行及び再配布する必要がありません(図2下)。
これによりICカード発行者の負担を軽減することが可能です。また、本更新処理は自動的に行うことができるため、ユーザの手間を省くことができます。
用語解説
< 本件に関する 問い合わせ先 >
株式会社KDDI研究所 営業企画グループ
小島 淳一
Tel : 049-278-7450
E-mail: 
株式会社日立製作所 システム開発研究所 企画室
塚越 雅人
Tel : 044-959-0325
<報道関係お問い合わせ先 >
株式会社KDDI研究所 営業企画グループ
小島 淳一
Tel : 049-278-7450
E-mail:
株式会社日立製作所
コーポレート・コミュニケーション本部 広報部
下河原 勝則
Tel : 03-5208-9324
NICT総合企画部 広報室 報道担当
廣田 幸子
Tel : 042-327-6923
E-mail: 
