-----------------------------
review comment 1
-----------------------------
■ 総合点
3
■ 確信度
2
■ 査読コメント
評点の根拠:
「物理的な信頼関係」という文脈を用いて被認証者の認証可否をコントロールするというアプローチは興味深く、深刻化するセキュリティ問題と複雑化するセキュリティシステムに対して一石を投じるものであると考えます。近接ユーザの物理的確認を利用したi-Contactと、その蓄積を信頼度として利用したk-Contactの組み合わせは、様々な応用範囲があると思われます。
一方で、本論文は、過去に提案したi/k-Contactの実験システムを実装し考察したものです。システムはよく実装されていると思いますが、構成は一般的であり、特に大きな新規性はないと考えます。また、考察ではシステムの問題点や拡張方法について述べていますが、セキュリティ面に関してもっと考察が必要であると考えます。以上の理由に基づいて評点を付けました。
論文改善のためのコメント、疑問:
<セキュリティ面での考察>
セキュリティにおいては、ITシステムのセキュリティホールだけでなく、利用する人間側の心理的な隙や判断ミスもまた重大なセキュリティホールの一つとして認識されています。提案システムは後者についてもっと深く考察が必要であると考えます。
例えば、居室内にある携帯デバイスは多くの人から認証済みである=ログイン時のセキュリティレベルが下げられていることが容易にわかるため、大きなセキュリティホールになりえます。もし居室内にいる悪意ある人が携帯デバイスを一時的に窃盗できれば、重要なコンピュータに容易にアクセスできます。もちろん携帯デバイスの窃盗は容易ではありませんが、携帯デバイスはしばしば置き忘れることもあることから、必ずしも難しいとは言えません。
<既存システムに対する優位性>
認証済みユーザによる物理的確認をもってして被認証者の認証可否をするという手法は既存研究があり[1]、そのコミュニケーション支援的側面についても議論されています[2]。また、複数人認証による信頼度を用いる手法は、ビルセキュリティなどで一般的な複数人照合機能の拡張ともいえます[2,3,4]。提案手法の新規性はこれらによって失われるものではありませんが、これら既存システムと比較した長所・短所も述べると、より良いと思います。
[1] 個人端末をWeb支援システムIDへリンクする一手法の提案 (知能と情報 2008)
[2] Doing Community: Co-construction of Meaning and Use with Interactive Information Kiosks (Ubicomp 2006)
[3] PANASONIC 入退室管理システム デイリPLUS http://panasonic.biz/security/acc/deiriplus/
[4] 三菱総合ビルセキュリティーシステム MELSAFETY http://www.mitsubishielectric.co.jp/building/download/image/c-c01-4-c9364-e.pdf
[5] 株式会社コトヴェール 統合警備システム http://www.coteau-vert.co.jp/products/TISS/index.html
■ レビューサマリー
周囲のユーザを巻き込んだ文脈情報を利用して、被認証者の認証可否をコントロールするというアプローチは大変面白いです。周囲のユーザの物理的確認を利用したi-Contactと、その蓄積を信頼度として利用したk-Contactの組み合わせは、様々な応用があると考えます。
一方で、現状の設計では攻撃に対する脆弱性や、利便性と安全性のバランスにおいて、疑問に思う点がいくつかあります。これらの点について議論を深め、設計を改良しなければ、提案手法の実用性・有用性は高いと評価できないと考えます。
以上のように問題点はあるものの、WISSにて議論する価値のある論文であると判断し、採択と判定します。カメラレディでは査読者が指摘する疑問点・問題点に対してできるだけ納得のいく回答を記述するようお願いします。
-----------------------------
review comment 2
-----------------------------
■ 総合点
4
■ 確信度
3
■ 査読コメント
著者らは、比較的閉じた部屋などの環境で、その部屋の無線LAN上での
端末IDの確認と、周囲の人間による目視での端末所持者の確認が一致
するかどうかを利用して、要求する認証の強度を変える、という手法を
提案し実装しています。
物理的な状況を用いた認証としてユーザ同士による目視の(相互)確認を
認証に取り入れるというアイディアはおもしろく、有用になりうる手法
だと思われます。
その意味で、提案手法は登壇発表の場で議論する価値があるものと判断
します。
一方で、現状の設計では、提案手法を用いることで確認する側のユーザ
に生じる手間、この手法で保証できることと、その結果として高めら
れる安全性や、下げて良い認証作業の度合いなどが、はたして釣り合っ
ているのか・釣り合わせることは可能なのか、が疑問として残ります。
たとえば、使用する環境によっては「目視による確認」をさぼって機械
的に「OK」を押すユーザ数が出てくることも考えられるでしょう。
また、「二人の確認があれば認証なしでよい」としてしまうと、
三台の正規の端末を入手した不正者はアクセス可能になりますが、
それは果たして妥当なリスクなのか、ということを評価するための指標
必要になります。
これらの議論を深め、設計を改良したりせねば、提案手法の実用性・有
用性は高く評価できません。
議論を深め、より有用性の高い手法へと発展させられることを期待します。
-----------------------------
review comment 3
-----------------------------
■ 総合点
4
■ 確信度
3
■ 査読コメント
端末認証の従来からの問題点である「デバイスそのものが正しい所有者に所持されているか?」という点について,「周囲のユーザを巻き込んだ文脈情報を利用する」というアプローチを用い,解決を目指している点について新規性の点で評価いたします.
本提案は,組織内におけるユーザの認証作業負荷の軽減という点で貢献すると思いますが,従来の組織内の個人認証,端末認証において,特に安全性の点で本提案により,どのような点が改善されるのかという点,(前述のユーザの認証負荷以外に)何が便利になるのか?という点についての説明が不足しており,有用性の点にやや弱さを感じました.特に安全性の点から,本提案により,どのような点が改善されるか,(現状と比較して)何が便利になるのか?という点についても触れていただけるとよいかと思います.
また本提案手法に対する,攻撃手法を考えた場合,組織内の一部の人間が結託するということが考えられると思いますし,これに関連して,例えば同時に複数人が入室をする場合,複数人が入室をする場合で組織外の人間が含まれている場合に提案の方式に問題がないかが気になりました.本提案手法が普及したとしてどのような攻撃手法が考えられ,それに対して,どういう対策が可能かという点についても考察があってもよいのではと思いました.
さらに,論文中に「フィジカルなコミュニケーション」という言い回しが何度か使われていますが,このコミュニケーションが具体的にどういう種類のコミュニケーションを指すのかが不明であるように思いました.5.3節の内容から察するに,i-Contactにおいてユーザが隣人かどうかの判定作業を行う際に,対象の人物とあいさつをかわしたり,存在を意識することを示すのではないかと思いますが,「フィジカルなコミュニケーション」という言い回しでは,5.3節に書かれている内容を想起することが困難であると思いますので,この点について修正を検討していただけるとよいかと思います.