Embed Size (px)
Citation preview
ネットワーク工学概論
Questions & Opinions (2020年 4月23日分)
1. 量子コンピュータの登場のよって、暗号化の写像関数やKeyが時間内に発見できるようになってしまうと聞いたことがあるのですが、実際のところどうなのでしょうか?また、それに対する、現在での対策案はどのようなものなのでしょうか?➔暗号化をやり直す!
2. ssh方式において送るデータそのものに対しては共通鍵を用いるメリットは何ですか?
3. sshのお話があったと思いますが、公開鍵-秘密鍵で暗号通信ができるのに、どうしてわざわざ共通鍵を共有して共通鍵で暗号通信を行うのでしょうか。➔共通鍵でセッション中の{比較的多くの}データ通信を行う。公開鍵+秘密鍵は、セッション鍵(共通鍵)共有のための通信の時だけなので少ない量のデータ通信になる。
暗号は、たくさんのデータを見ていると、ばれる可能性が大きくなる!
さて、暗号化は何をしているのか。
• {平文}文字の空間 と {暗号}文字の空間との間の写像{F(文字,パラメータ)} の計算を行っている。 {暗号}文を、たくさん眺めると, 文字とパラメータが見えてくる。
•この {たくさん} が、十分に大きければよしとする。• {暗号}文の空間 も、写像関数F もほぼ、無限に存在する。• 写像関数 F の 逆関数 F-1 が存在すること• 必ず、1対1 の写像となっていること。(*) 認証では、この条件が少し甘くできる。
4
4. 公開鍵で暗号化して秘密鍵で復元する場合、公開鍵から秘密鍵を作れてしまうことはないのでしょうか?➔大変難しいです。
5. UTokyo Account 含め、パスワードの定期的な変更を促すサービスがありますが、一方でこのような対策には意味がないとする意見もあるようです。セキュリティ的にはどのようにするのが望ましいのでしょうか。➔想像しにくいパスワードにする。
6. 言葉を変えれば「いつか絶対破られてしまう」システムには、公文書のような機密は載せておくべきではないと考えたのですが、どう思われますか。➔暗号化をやり直せばいいだけじゃない?
7. たとえばUSBメモリでインターネットにつながっていないネットワークに侵入した後、USBメモリを回収せずにデータを漏洩させることはできるのですか。➔データの漏洩だけが目的ではないです。 USBメモリには、既に、無線通信機能も搭載可能(既に事例があります)ですし、次の訪問時に回収可能です。
8. セキュリティーのスライドで、2→3の論理的な繋がりがわかりませんでした。
① 業者:「繋いでいない」からセキュリティー対策は 不要 です。
② ユーザ:でも、繋がるかもしれませんよね。。。
③ 業者:システムをアップデートすると 保証 できなくなってしまいますよ。(脅し、恫喝)
④ ユーザ:俺が管理者のうちに、事故が起こらないことを祈ろう。
⑤ ユーザ:事故が起きたら、不具合にして、業者のせいにしよう。
【理由】セキュリティー事故は、会社の上層部まで報告される。
9. 「システムをアップデートすると保証できなくなってしまう」という類の理由からセキュリティーが甘くなってしまうという例が多いとのことでしたが、現実的には、それでもアップデートすべきということでしょうか。他の対策がありうるのでしょうか。➔リスク管理の問題。 組織がインシデントに耐えられるのか?
要は、KPI の問題でもある。規則にしてくれると、やりやすい。
1. 『セキュリティー』は 、常時は邪魔者&不要。
2. 無事故が続くと、『さぼりたくなる』
3. 『さぼっても』、利益構造には変化がない。。。。「風紀委員と似ている」。。。。
【セキュリティーの “心” は 】
安心して、危ないことができる環境を提供
【セキュリティー実現の “鍵” は 】
イノベーションへの機会(opportunity)の確保
【利益率】
効率化品質向上
事業継続
新機能新サービス
セキュティー施策
(Internet by Design)
①
②
③
10.セキリュティ対策としてOSのアップデートを勧められる場面を頻繁に目にします。OSのアップデートとセキリュティ対策には一見直接の関係がないように思えるのですが、なぜ有効とされるのでしょうか。①機能アップは、セキュリティー対策でもある場合が少なくない。
②パッチは継接ぎなので、意図しない穴ができてしまう場合がある。
③オンライン・アップデートという素晴らしいビジネス構造の変化 (最初はSONY のケーブルモデム@USA)
11. unbandleの話で, 最近特に業務系アプリの中で, .exeのようなnative appからwebというある程度水平なプラットフォーム上で提供されるweb appへの以降が激しいのも, 似たような話なのかなと思いました.
特に最近だとfile systemや指紋認証といったnativeの機能を, デバイスごとの差分をbrowserが吸収して, そのインターフェースをweb appの開発者に提供する流れが来ていて, あ〜〜〜水平〜〜〜ってなります。
➔そうね!ブラウザで全部吸収。 Docker も似たようなもの。
12.セキュリティの話のところで目指すべきは安心, のびのび, リスク対応(not0)と仰っていましたが, 石器時代式にマニュアルでセキュリティ対策をしようとして、現場の人間が常に気を張る必要が出てくる状況より, セキュリティーシステムを開発する, 作る, bug fixする人がシステムに手をつけるときだけ気を張った方が, 結局安心だしのびのびだなと思います(そもそも自分よりも賢い人が気を張って作った, 運用しているシステムに身をまかせる方が, 当たり前に安心できますが。。).➔これが、クラウド化の利点とも言います。 ユーザは、アプリケーション
だけ気にしておけば、下のプラットフォームのサイバーセキュリティは気にしなくてもいい。
13.サイバー攻撃を未然に防ぐためにはやはり情報共有が大切になると思うのですが、現在そのような攻撃への対策は国ごとに行われているという認識でよろしいですか?➔国は、安全保障の観点から という理由で情報を隠します・隠蔽します。
中国政府はインターネット・通信企業に対し、データを中国国内のサーバーに保管し、公安当局に暗号カギを提出することを義務づける反テロ法を提案している。
先陣を切ったのがロシアで、プーチン大統領が昨年署名した法律が2015年9月に発効。同法は、ロシア市民に関するデータを直接収集、処理する企業に対して、データをロシア領内に保管することを義務づけている。
14.犯罪者にとって工場や病院の機能を停止させることにメリットがあるとは感じなかったが、そのような人たちの目的がどのようなところにあるのか気になった。(テロのようなものなのかもしれないが)
例にあった病院のハッキングはどのような利益があってやっているのかという単純な疑問を抱きました。インターネットバンキング等のハッキングはお金目的だと思うのですが、病院や公共の施設を攻撃することで当人に嬉しいことはあるのでしょうか。ただの愉快犯なのか、何かの実験なのでしょうか。
➔お金になります。こっそりお金を出し、秘密にします。
15.この授業は、ネットワークを垂直に展開してイノベーションを考えるという目標があると言う認識でよろしいでしょうか?
➔どのような技術面・運用面(ルール・アルゴリズム)で、継続的なイノベーション(=SDGs)を可能にするのかの 本質的な特長・構造とその具体例としてのインターネットシステムの構造を把握する。
16.EUがGoogleに対して、データの独占禁止法などで罰金を課している動きがありますが、利用者から得られデータはサービス提供の対価であり、googleにとって資産であり、それを公開させるのはサービスの対価として得たものを認めない不条理なことだと僕は認識してしまいます。アメリカ企業に対するEUのひがみのようにも認識されます。この点どうお考えでしょうか?① 独占禁止法はどういうもの? 個人にも企業にも、お金の魅力は強大で上限がなさそう。格差は、どのくらい許せるか? 国はなんのためにある? 競争状況が消えると?
②電力産業における「総括原価方式」=国による独占企業の監視。③「欲望の資本主義」とも言います。トリクルダウン理論(Trickle-down
Effect);「富める者が富めば、貧しい者にも自然に富が滴り落ちる(トリクルダウンする)」
17.オープン化と権利といったものが対立することがあるような気がしますがどうでしょうか。例えば著作権と二次創作の関係など。①ルネッサンス、②特許、③著作権
➔権利(=お金)を認め、オープン化(=秘密の公開)を誘導
そもそも、知的所有権は。
• 中世時代:–知的資源の流通が意識的に阻害されていた。
–知的創造活動が停滞してしまう。
• 知的所有権:目的: ① 『知』の利用を促進、② 『知』の創造を促進
1. 『知』の所有者の保護
2. 『知』の利用ルールの明確化
(*)これに照らせば; 『不当/不適切な利用制限』は、本来の趣旨に反する
思考
発明<個人>
思考
<個人>
思考
<個人>
公開 & 利用発明
発明
<公的場所>
思考
発明<個人>
思考
<個人>
思考
<個人>
公開 & 利用発明
発明
<公的場所>
思考
発明<個人>
思考
<個人>
思考
<個人>
公開 &利用
発明
発明
<公的場所>
過度な規制
交流の促進
知的財産権・著作権の”心”はどこにあったか?
特許法 =工業所有権法
第1条(目的)
この法律は、発明を保護・奨励し、その利用を図ることにより技術の発展を促進して産業発展に尽くすことを目的とする。
著作権法
第一節 通則
(目的)
第一条 この法律は、著作物並びに実演、レコード、放送及び有線放送に関し著作者の権利及びこれに隣接する権利を定め、これらの文化的所産の公正な利用に留意しつつ、著作者等の権利の保護を図り、もつて文化の発展に寄与することを目的とする。
著作権法 (続)(営利を目的としない上演等)
• 第三十八条 公表された著作物は、営利を目的とせず、かつ、聴衆又は観衆から料金(いずれの名義をもつてするかを問わず、著作物の提供又は提示につき受ける対価をいう。以下この条において同じ。)を受けない場合には、公に上演し、演奏し、上映し、又は口述することができる。ただし、当該上演、演奏、上映又は口述について実演家又は口述を行う者に対し報酬が支払われる場合は、この限りでない。
個人情報の保護に関する法律(目的)
第一条
この法律は、高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることにかんがみ、個人情報の適正な取扱いに関し、基本原則及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。
(*) 本法は、個人情報を遍く網羅して規制を掛けると言う趣旨の法律ではない。
18.日本のアドバンテージとして秘匿性があるとのことでしたがそれによって日本では海賊版サイトが多く存在してしまっていると思います。解決法としては何があると思われますか。①国際的な協力・連携②広告業界への情報提供と、広告業界のお金の流れの透明化③新しいビジネスモデルへの進化・変身技術・システムが悪いのか? それとも悪い使い方をする者が悪いのか?悪い人を取り締まることを口述にして、何が失われるのか?➔さて、そもそも、「秘匿性」は何のために必要なのか?
19.日本の長所が、「通信の秘匿性」という点で、通信の秘匿性が高ければなんとなく安心できそうというイメージは湧くのですが、それが日本にとってどのような利点があるのか、また秘匿性の低い国ではどのような欠点があるのか、ということが具体的にイメージできませんでした。➔すべての、会話が政府・警察によって 盗聴可能になったら?
9.11の後の米国で何が起こったか? Snowden事件
20.インターネットの中立性のところで単純な言葉の違いですけど、平等性という言葉を今まで考えていましたが中立という言葉の方が、制度的に立ち上げる必要があるということを考えさせられました。
21.中立で公平な立場に立てるよう消費者(=個人)が力を持つために必要なことを考えさせられました。
22.セキュリティーの話において規制を厳しくすると見えないところで悪態をつかれるからかえってよくないという考えは、為政やそのほかの分野にも言えることでとても参考になりました。
23.規制を強めることがかえってセキュリティの妨げになるという考え方には納得した
24.過度な規制はむしろ不都合に繋がるという考えは、広く応用できそうだと感じました。例えば、プレゼンを行う際に、あえて説明が不十分な箇所を残すことで、質問をそこに集中させるという話は聞いたことがあります。
公正(fairness) vs 公平(equity)
• 「公平」と「公正」は、「ものごとを平等に扱う」という意味では違いはありません。 その一方で、「公平」が「ものごとを偏らないようにすること」に重点を置くのに対し、「公正」は「不正やごまかしがないこと」に重点が置かれているという違いがあります。
• 公平 ; equity • “結果として”の 不偏 (impartiality as a result)
• 公正; fairness, justice• “手続・規則の” 不偏・不変 (equality of opoortuniety/process)
✓解説 1 : 苦労しなくても 同じ 結果を提供。。。
(*) ここでは、equity = fairness と なっているけど。。
✓解説 2 : 賃金。。。効率の違いが、、、、
20.インターネットの中立性のところで単純な言葉の違いですけど、平等性という言葉を今まで考えていましたが中立という言葉の方が、制度的に立ち上げる必要があるということを考えさせられました。
21.中立で公平な立場に立てるよう消費者(=個人)が力を持つために必要なことを考えさせられました。
22.セキュリティーの話において規制を厳しくすると見えないところで悪態をつかれるからかえってよくないという考えは、為政やそのほかの分野にも言えることでとても参考になりました。
23.規制を強めることがかえってセキュリティの妨げになるという考え方には納得した
24.過度な規制はむしろ不都合に繋がるという考えは、広く応用できそうだと感じました。例えば、プレゼンを行う際に、あえて説明が不十分な箇所を残すことで、質問をそこに集中させるという話は聞いたことがあります。
How do you think?
『項羽と劉邦』 (司馬遼太郎著)より
。。。。やがて華何が死に、曹参は後任を命ぜられた。 彼は、斉の丞相の職を後任に譲るとき、「それでは、斉の獄市を貴官にお渡しします」
と言った。 獄市とは商品の市場のことである。むろん、この時代といえども政治は多岐にわたっており、獄市のみではない。 後任者は不審に思い、政治にはほかにもっと大事なものがあるのではないでしょうか? と反問すると、
「獄と市だけが、政治の要です」と、曹参は言った。 曹参の考えは、牢獄も商業の場も、善悪ともに 受け容れるところです、こ
れに対して為政者が善悪に厳格でありすぎると、かえって ぐあいが悪くなります、ということであった。
・・・ (略) ・・・・
曹参は、世の中には必ず姦人とい者がいる、という。 これをやわらかくつつむのが、曹参の社会に対する生理学的な認識のようであった。 そういう姦人たちは、司法の対象になるか、市場管理の対象になるかどちらかだが、この獄と市をあまり やかましく正しすぎると姦人は世に容れなくなり、必ず乱をおこし、国家そのものを毀損することになる、だから獄市は大切だと言ったのです、曹参は答えたと いう。
禁酒法
麻薬
【麻薬】 ➔ 『非刑事問題化』
1. オランダ : 1週間に購入・摂取可能量の管理
2. ポルトガル(2001年) : 病気として治療支援
1. 【孔子】: p.294
法をもって導き、刑罰をもって統制すれば、民は法の網をくぐりぬけて恥を知ることがない。
徳をもって導き、礼をもって統制するなら、民は恥を知り、自ずと正しく行動する。
2. 「ファイナンシャル・アドバイザー・サービス」
コストに合うのは、最上級顧客“のみ”
それ以外は、コンピュータでのサービスになるだろう。
3. 複雑で大規模なシステムを担うエンジニアは、
安定性と復元力を保つためには、
(1)簡略性、(2)モジュラリティー、(3) 冗長性
を、意識的にかつ体系的に確保しておく必要性を経験から学んでいる。
27
25.インターネットに接続せずサポートが終了しているサービスを利用し続けるというのはよく聞きます。そのような場合、社員(内部の人)が脅威になってしまうというのが上層部にとって盲点なのか、それともリスク評価したうえでのことなのか。結局、働く人へのリテラシー教育に行きつくように思えてしまいます。特に上層部の人は保守的で年齢層も高いイメージをもつのですが、そのような人に先生がおっしゃった「正しいセキュリティ」を理解させるにはどのような方法が有効と思われますか? 勝手なレッテル貼りと言われればそれまでですが、若者の方が柔軟性をもって変化していくのに対して変化を嫌う人にその危険性を納得させるのは非常に難しいように思え、ITリテラシーが高くなるには(世代交代までの)あと10年ほどかかる気がしています。➔ Show them reality, in front of them and in their life !!! 監査役のチェックポイントにするのも一つの手。(1)知っていたのに行動しない、、、、「不作為過失責任」(2)適切・十分な注意を行う義務、、、「善管注意義務」(3)noble obligation,,,, 「高・貴さは責務を伴う」
26.公助か共助かというお話がありました。
システム、及びデータを中央集権的に管理してセキュリティを高めるのか、分散的に管理してセキュリティを維持する仕組みを作るのか、という違いかと思います。
後者は一般人がネットワークを利用する中で(無自覚的に)セキュリティの維持に貢献する、というような仕組みを設計すれば(概念上は)実現できそうに思います(ブロックチェーンのように利用者が次々とブロックを生成する仕組みはこれに当てはまりそうです)が、結局のところどのようなシステムになってもソフト、ハード(こちらは、シンプルに設計するというのがレイヤー化の思想なのでしょうが)両面におけるその設計の仕組みまで理解できるのはごく限られたエリートのみであり、情報の非対称性はどこまで行っても存在するように思います。
その点では公助も共助もおおきな違いはないかと。まず、一般人に仕組みを理解することなどできません。こう考えると、デジタル化の進展というのは、大部分の人がその原理を理解していないものに過度に依存した生活を送るようになる、という点がこれまでとは本質的に異なり、その意味で、一見レジリエンスを高めているようで逆に大きなリスクを抱え込むことになっているのではないか、と考えます。この辺について教授はどう考えられますか。
「情報の伝達力」による非対称性への挑戦そして、専門家の責任(中立性と勇気)
1. 「印刷技術」=本a. 宗教改革
b. 王政・封建制 崩壊
2. 「電波技術」=テレビ・ラジオa. ロシア革命
b. 大量消費革命 = Water Fall(Push)型 の Supply Chain
3. 「デジタル技術」=インターネットa. ロングテール革命(2:8の法則の崩壊) = Pull型の Demand Chain
b. CGM(Consumer Generated Media)
諸刃の剣権力者vs 市民
