Upgrade to Pro — share decks privately, control downloads, hide ads and more …

セキュリティとプライバシーに求められるユーザビリティ

 セキュリティとプライバシーに求められるユーザビリティ

2019年6月15日にISACA名古屋支部で講演した資料を公開用にアレンジしたものです

Akira Kanaoka

June 15, 2019
Tweet

More Decks by Akira Kanaoka

Other Decks in Research

Transcript

  1. 自己紹介:金岡 晃(かなおか あきら) 2019/6/15 ISACA名古屋支部特別講演会 1 東邦大学 理学部 情報科学科 准教授

    専門分野 • セキュリティとプライバシのユーザビリティ • 暗号実装・応用 • IDベース暗号、検索可能暗号、秘密計算のシステム実 装と運用 • モバイルセキュリティ • Androidのセキュリティ • その他 • BGP関連のセキュリティ • Webサーバ証明書の冗長化 コンタクト先 • 電子メール:akira.kanaoka AT is.sci.toho-u.ac.jp • Twitter: akirakanaoka • facebook: 金岡晃(Akira Kanaoka)
  2. セキュリティと利便性はトレードオフ 2019/6/15 ISACA名古屋支部特別講演会 2 https://scan.netsecurity.ne.jp/article/20 03/04/03/9281.html https://japan.zdnet.com/extra/windows7 _panel_200912/story/0,3800102051,20 404019-5,00.htm 「セキュリティのトレードオフ問題を考える」

    「セキュリティと利便性はトレードオフ」 “企業におけるセキュリティ問題はビジネスの一部であり、そこには相反する問題が発生 する。この「トレードオフ」(二律背反)問題は、セキュリティ対策のレベル設定に対 するセキュリティ対策にかかるコストの問題、対策によって損なわれる利 便性、システムの安定性の問題である。” “機密性(セキュリティ)と利便性はトレードオフの関係に あり、すべての情報を機密性の高い領域(セキュリティエリア)におくことで利便性が 失われ、さらには生産性も失われることになりかねません。”
  3. セキュリティとプライバシに対する ユーザビリティ 2019/6/15 ISACA名古屋支部特別講演会 4 トレードオフの存在 ユーザビリティ セキュリティ プライバシ 事例

    機密データは特定の役職のみが扱えるようにした 特定役職者が休暇中のときに当該データを利用する必要性が出てきた
  4. ユーザビリティ:Jakob Nielsenによる定義 2019/6/15 ISACA名古屋支部特別講演会 6 Usability is a quality attribute

    that assesses how easy user interfaces are to use. The word "usability" also refers to methods for improving ease-of-use during the design process. “ユーザビリティとは、質的な属性である。その質的な属性はユーザーインタ フェースがどれほど簡単に利用できるかを測る。「ユーザビリティ」という言 葉は、デザイン工程における利用しやすさ(ease-of-use)改善のための方法 としても使われる。” https://www.nngroup.com/articles/usability-101-introduction-to-usability/
  5. ユーザビリティを定義する5つのコンポーネント 2019/6/15 ISACA名古屋支部特別講演会 7 Learnability(学習しやすさ) Efficiency(効率) Memorability(記憶しやすさ) Errors(エラー) Satisfaction(満足) そのデザインに最初に出会ったときに基本的なタスクをユーザーが達成するのに

    どれくらい簡単であるか そのデザインを1度覚えたら、ユーザーはどれほど素早くタスクを実施できるか 利用しない期間がある程度過ぎたあとにそのデザインに戻ってきたとき、 どれくらい簡単に習熟性を再確立できるか ユーザーはどれくらいの数のエラーをし、それらのエラーがどれくらい重大で、 それらのエラーからの回復がどれほど簡単か そのデザインを利用するのにどれほど快適(pleasant)か
  6. ユーザブルセキュリティ 2019/6/15 ISACA名古屋支部特別講演会 11 目的 利用者 環境 機能要件 非機能要件 運用・保守性

    可用性 拡張性 セキュリティ ユーザビリティ • 学習しやすさ • 効率 • 記憶しやすさ • エラー • 満足 • … • … • ユーザビリティ (ユーザブルセキュリティ) • … それ自身が高いユーザビリティを持っている セキュリティ技術やプロセス。
  7. “WHY JOHNNY CAN’T ENCRYPT: A USABILITY EVALUATION OF PGP 5.0”

    A. Whitten, J.D. Tygar, USENIX Security ‘99, 1999 2019/6/15 ISACA名古屋支部特別講演会 12 https://www.usenix.org/conference/8th-usenix-security-symposium/why-johnny-cant-encrypt-usability-evaluation-pgp-50
  8. “Why Johnny Can’t Encrypt: A Usability Evaluation of PGP 5.0”

    2019/6/15 ISACA名古屋支部特別講演会 13 A. Whitten, J.D. Tygar, USENIX Security ‘99, 1999 “コンピュータセキュリティに関するものを実行しようとして起きる失敗は、ユー ザがエラーを起こすという点が大きい。 その中でもセキュリティのためのユーザインタフェースは扱いにくく、混乱を招い たり、ともすれば存在さえしていない” セキュリティには標準とは異なるユーザインタフェース が必要であり、 他のユーザインタフェースでは解決できない
  9. “Why Johnny Can’t Encrypt: A Usability Evaluation of PGP 5.0”

    セキュリティにおけるユーザビリティ 2019/6/15 ISACA名古屋支部特別講演会 14 利用者がやるべきセキュリティの作業を確かに (reliably) 認識する 利用者がそれらの作業をうまく (successfully) 実施する方法を理解可能である 利用者が危険なエラーを起こさない 利用者がそのインタフェースを継続して使うことを十分に快適に感じる (comfortable)
  10. Usable Security / Usable Privacyの難しさ 2019/6/15 ISACA名古屋支部特別講演会 15 Webサイトのユーザビリティ セキュリティの実現とプライバシの保護

    Webサイトの本来の目的を達成するためのユーザビリティ • サービス(Webサイト等)の本来目的ではなく、要素の1つ • 第3者(悪意のある・なしを問わず)の存在から守られなければな らない • しかしこの要素は時に本来目的を阻害することもある 合わせて考える 本来目的を阻害せず、SecurityとPrivacyの 高いユーザビリティを実現
  11. Usable Security & Privacy研究の流れ 2019/6/15 ISACA名古屋支部特別講演会 16 • ユーザってこういうパスワードを付 けてしまいがち

    • ユーザってこういう情報が付与され ていると強いパスワードをつけがち 人間の行動原理 • セキュリティ+ユーザビリティの文脈では、未知の部分が多い • 新しい世界と文化 • 例:「スマホをみんなが持ちました。スマホ持ったユーザっ て移動中に何をする?」 解決のフロー ユーザの行動原理の認識、把握 行動原理を応用した 高いユーザビリティの実現 パスワードのケース では「こういう情報」を効果的に配置 しましょう
  12. Usable Security & Privacy研究の分野紹介 2019/6/15 ISACA名古屋支部特別講演会 17 パスワード きれいな形で「行動原理把握」と「それを応用した高いユーザビリティ の実現」が行われている分野

    Weirら@ CCS2010 原理把握 Kelleyら@S&P 2012 応用 Urら@SEC 2012 応用 Liら@SEC 2014 原理把握 Zhangら@CCS2010 原理把握 Washら@SOUPS2016 原理把握 NIST SP 800-63-3
  13. Weirら@CCS2010 2019/6/15 ISACA名古屋支部特別講演会 18 Matt Weir (Florida State Univ.) ,

    Sudhir Aggarwal (Florida State Univ.) , Michael Collins (Redjack ) , Henry Stern (Cisco), “Testing Metrics for Password Creation Policies by Attacking Large Sets of Revealed Passwords” RockYouの3200万件パス ワード漏えい(2009) 徹底した分析 頻出パスワード 記号の出現パターン 数字の出現パターン 大文字・小文字の出現パターン 分析結果を応用した推測攻 撃の高度化 NIST SP 800-63が示すエントロ ピーとの差 http://www.cs.umd.edu/~jkatz/security/downloads/passwords_revealed-weir.pdf
  14. Kelleyら@S&P2012 2019/6/15 ISACA名古屋支部特別講演会 19 Patrick Gage Kelley, Saranga Komanduri, Michelle

    L. Mazurek, Richard Shay, Tim Vidas, Lujo Bauer, Nicolas Christin, Lorrie Faith Cranor, and Julio Lopez (Carnegie Mellon University), “Guess again (and again and again): Measuring password strength by simulating password-cracking algorithms” パスワードの構成ポリシの 効果についての分析 効果測定として推測攻撃を 実際に実施 basec8survey 最低8文字 basic8 最低8文字 basic16 最低16文字 dictionary8 最低8文字+辞書に含まれる用語を含まない (アルファベット以外を除いて、辞書と照合。 Ignore case。) comprehensive8 最低8文字+辞書×+大文字・小文字含む+ 記号含む+数字含む blacklistEasy 最低8文字+Unix辞書と照合(アルファベッ ト除かない) blacklistMedium 最低8文字+Openwall listと照合 blacklistHard 最低8文字+500億語辞書(Weirによるアルゴ リズム利用) https://www.archive.ece.cmu.edu/~lbauer/papers/2012/oakland2012-guessing.pdf
  15. ポリシ設定の差による強度変化 2019/6/15 ISACA名古屋支部特別講演会 20 comprehensive8 comprehensive Subset 記号・数字・大文字小 文字混合ポリシにより 作成されたパスワード

    群 他のポリシだが、結果 的にcomprehensive8 のポリシを満たしてい るパスワード群 推測回数 推測成功率 推測回数 推測成功率
  16. Urら@SEC2012 2019/6/15 ISACA名古屋支部特別講演会 22 Blase Ur, Patrick Gage Kelley, Saranga

    Komanduri, Joel Lee, Michael Maass, Michelle L. Mazurek, Timothy Passaro, Richard Shay, Timothy Vidas, Lujo Bauer, Nicolas Christin, and Lorrie Faith Cranor (Carnegie Mellon University), “How Does Your Password Measure Up? The Effect of Strength Meters on Password Creation” パスワード強度メータの効 果についての分析 効果測定として推測攻撃を 実際に実施 Control Conditions No Meter Baseline meter Conditions Differing in Appearance Three-segment Green Tiny Huge No suggestions Text-only Conditions Differing in Scoring Half-score One-third-score Nudge-16 Nudge-comp8 Conditions Differing in Multiple Ways Text-only half-score Bold text-only half-score Bunny https://www.usenix.org/conference/usenixsecurity12/technical-sessions/presentation/ur
  17. Zhangら@CCS2010 2019/6/15 ISACA名古屋支部特別講演会 25 Yinqian Zhang, Fabian Monrose, Michael K.

    Reiter (Univ. of North Carolina at Chapel Hill), “The Security of Modern Password Expiration: An Algorithmic Framework and Empirical Analysis” パスワード定期変更強制に おけるユーザの行動調査 変換パターンを分類し、パ ターンの状態遷移を分析 状態遷移 • 予想されているより失効の効果は弱いことが判明 • 特定タイプの変換は同一ユーザが繰り返す可能性が高い 結果 http://cs.unc.edu/~fabian/papers/PasswordExpire.pdf
  18. Washら@SOUPS2016 2019/6/15 ISACA名古屋支部特別講演会 26 Rick Wash and Emilee Rader (Michigan

    State University), Ruthie Berman (Macalester College), Zac Wellmer (Michigan State University), “Understanding Password Choices: How Frequently Entered Passwords Are Re-used across Websites” パスワードの再利用調査 134人のユーザを6週間追 跡調査 • 1.7-3.4の異なるサイトでパスワードを使いまわしている • 難しいパスワードを再利用 • 良く利用するサイトほど再利用多い 結果 https://www.usenix.org/conference/soups2016/technical-sessions/presentation/wash
  19. Google Chromeのアプローチ(2) 2019/6/15 ISACA名古屋支部特別講演会 39 用語を簡単にした • 中学3年生が知っている単語だけを使った文章構成 • SMOGインデックス:文章の読みやすさの指標

    色使いを変えた • 警告画面には赤が最適 • より強い警告である「フィッシング」「悪意のあるソフトウェ ア」との区別が必要 • ANSIは赤に次ぐ色としてオレンジと黄色を推奨 • オレンジはアクセシビリティが低い • 黄色は実際にけがをするなどのケースで使われる • 赤いアイコンとグレーの背景 具体的なキーワードを入れた • 利用者に身近なキーワード(パスワード、クレジットカード)を入れた https://ai.google/research/pubs/pub43265
  20. RETHINKING CONNECTION SECURITY INDICATORS Adrienne Porter Felt, Robert W. Reeder,

    Alex Ainslie, Helen Harris, Max Walker (Google), Christopher Thompson (University of California, Berkeley), Mustafa Embre Acer, Elisabeth Morant, Sunny Consolvo (Google) 2019/6/15 ISACA名古屋支部特別講演会 40 https://www.usenix.org/conference/soups2016/technical-sessions/presentation/porter-felt
  21. Usable Security & Privacy研究の流れ 2019/6/15 ISACA名古屋支部特別講演会 42 人間の行動原理 • セキュリティ+ユーザビリティの文脈では、未知の部分が多い

    • 新しい世界と文化 • 例:「スマホをみんなが持ちました。スマホ持ったユーザっ て移動中に何をする?」 解決のフロー ユーザの行動原理の認識、把握 行動原理を応用した 高いユーザビリティの実現 パスワードのケース では「こういう情報」を効果的に配置 しましょう • ユーザってこういうパスワードを付 けてしまいがち • ユーザってこういう情報が付与され ていると強いパスワードをつけがち
  22. メンタルモデルの調査 2019/6/15 ISACA名古屋支部特別講演会 44 Kang, et al@SOUPS2015 Ruogu Kang, Laura

    Dabbish, Nathaniel Fruchter, and Sara Kiesler (Carnegie Mellon University), ““My Data Just Goes Everywhere:” User Mental Models of the Internet and Implications for Privacy and Security” インターネットに関する知識と、 プライバシ・セキュリティの行動の関係性 https://www.usenix.org/conference/soups2015/proceedings/presentation/kang
  23. メンタルモデルの調査 2019/6/15 ISACA名古屋支部特別講演会 45 Zeng et. al@SOUPS2017 Eric Zeng, Shrirang

    Mare, and Franziska Roesner (University of Washington), “End User Security and Privacy Concerns with Smart Homes” https://www.usenix.org/conference/soups2017/technical-sessions/presentation/zeng スマートホーム機器とセキュリティ・プライバ シについての理解、姿勢、振る舞い
  24. メンタルモデルの調査 2019/6/15 ISACA名古屋支部特別講演会 46 Wu, et. al@SOUPS2018 Justin Wu and

    Daniel Zappala (Brigham Young University), “When is a Tree Really a Truck? Exploring Mental Models of Encryption” https://www.usenix.org/conference/soups2018/presentation/wu 暗号の技術、機能、認識
  25. USING PERSONAL EXAMPLES TO IMPROVE RISK COMMUNICATION FOR SECURITY AND

    PRIVACY DECISIONS Marian Harbach, Markus Hettig, SusanneWeber, Matthew Smith@CHI ‘14 2019/6/15 ISACA名古屋支部特別講演会 48 https://www.chi.uni-hannover.de/uploads/tx_tkpublikationen/android-permissions-chi.pdf
  26. 2019/6/15 ISACA名古屋支部特別講演会 50 (効果があるが故に)注意深くなりネガティブな効果となる “The online study also suggests that

    communicating risk to users with examples created more awareness in participants and instilled a negative affect which caused them to pay more attention to the permissions. “
  27. • Androidアプリへのパーミッション付与 • サービスのプライバシーポリシー表示 • ブラウザの表示 • 暗号の利用 • 認証画面UI

    • … 焦点を特定ユーザーへ 2019/6/15 ISACA名古屋支部特別講演会 52 一般のエンドユーザー向け調査・提案技術 特定のユーザーにも適用可能なのか? 子供の保護者 子供 高齢者 銀行員 企業の被雇用者 SOCオペレーター 国・地域
  28. 特定のユーザーに焦点を当てた認証の実態調査 2019/6/15 ISACA名古屋支部特別講演会 53 視覚障害者:Dosono@SOUPS2015 Bryan Dosono, Jordan Hayes, and

    Yang Wang (Syracuse University), ““I’m Stuck!”: A Contextual Inquiry of People with Visual Impairments in Authentication” 視覚障害者に対するWeb やPCのログイン認証の ユーザビリティ調査 • タスク未完了が多発 • 常時ログインが普通 • サポートツールとWeb技術発展のアンバランスさ 結果 コンピュータへのログイン 電子メールアカウントへのログイン オンラインバンキングあるいは電子 商取引サイトへのログイン SNSへのログイン スマートフォンへのログイン 原因分析 https://www.usenix.org/conference/soups2015/proceedings/presentation/dosono
  29. 一般利用者(エンドユーザ)だけでなく 開発者に向けたアクション 2019/6/15 ISACA名古屋支部特別講演会 54 ユーザー行動原理把握 Y. Acer, M. Backes,

    S. Fahl, D. Kim, M. Mazurek, C. Stransky, “You Get Where You’re Looking For: The Impact Of Information Sources On Code Security”, 2016 IEEE Symp. On Security and Privacy (SP ‘16) • 開発者はStackOverflowやGitHubなどにあるコードを利用する傾向 • 参照元のコードが脆弱なコードであることがある ユーザー支援ツール開発 D.C. Nguyen, D. Wermke, Y. Acar, M. Backes, C. Weir, and S. Fahl, “Stitch in Time: Supporting Android Developers in WritingSecure Code”, ACM CCS 2017 • 脆弱なコードパターンをDB化 • IDEのプラグインで脆弱なつくりになる部分を指摘→修正候補の表示 https://www.cs.umd.edu/~doowon/paper/so_oakland16.pdf https://acmccs.github.io/papers/p1065-nguyenA.pdf
  30. SSL/TLS関連の設定不備 2018/10/15 55 Fahlら@ AsiaCCS2014 Sascha Fahl, Yasemin Acar, Henning

    Perl, Matthew Smith, “Why Eve and Mallory (Also) Love Webmasters: A Study on the Root Causes of SSL Misconfigurations”, AsiaCCS 2014 Web管理者が、その証明書はブラウザで検証が通らないことがわかっている にも関わらず使っているケースがある。それはどうしてなのか。それを調査 した。 証明書 収集 検証失敗 証明書 抽出 管理者に コンタクト ヒアリング 330/495が 「意図的に利用」 主原因:それでもユーザ はアクセスする CSS2018 https://saschafahl.de/static/paper/webmasters2014.pdf
  31. “An Inconvenient Trust: User Attitudes toward Security and Usability Tradeoffs

    for Key-Directory Encryption Systems” 2019/6/15 ISACA名古屋支部特別講演会 57 Wei Bai, Doowon Kim, Moses Namara, and Yichen Qian, University of Maryland, College Park; Patrick Gage Kelley, University of New Mexico; Michelle L. Mazurek, University of Maryland, College Park 重要な通信が覗き見られる危険性に対してEnd-to-End暗号化が重要視されてきて る。AppleやGoogleのサービスは広く使われている。その裏では、使いやすさのた めに鍵管理にKey-Directoryサービスを適用している。Key Directoryはセキュリ ティを犠牲にしているともいえる。ユーザはそれをどう考えているか。 被験者にインタビューの結果、一般的な利用者はKeyDirectoryのような登録モデル で日常ユースは問題ないと感じていることが分かった。 ユーザの行動原理の認識、把握 https://www.usenix.org/conference/soups2016/technical-sessions/presentation/bai
  32. ユーザビリティを定義する5つのコンポーネント 2019/6/15 ISACA名古屋支部特別講演会 61 Learnability(学習しやすさ) Efficiency(効率) Memorability(記憶しやすさ) Errors(エラー) Satisfaction(満足) •

    そのデザインに最初に出会ったときに基本的なタスクをユーザが達成するのに どれくらい簡単であるか • そのデザインを1度覚えたら、ユーザはどれほど素早くタスクを実施できるか • 利用しない期間がある程度過ぎたあとにそのデザインに戻ってきたとき、どれ くらい簡単に習熟性を再確立できるか • ユーザはどれくらいの数のエラーをし、それらのエラーがどれくらい重大で、 それらのエラーからの回復がどれほど簡単か • そのデザインを利用するのにどれほど快適(pleasant)か 信頼(トラスト)が影響してくるのでは
  33. 信頼の構成要因 2019/6/15 ISACA名古屋支部特別講演会 64 • 複数要素(多元性)があるという認識が一般的 • 多くて5つ程度 • 「能力に対する期待」がそのうちの1つの要素として安定して見いだされる

    バーバー、1983 「技術的能力への期待」「受託責任を果たすことへの期待」 メイヤーら、1995 「能力認知」「誠実さ認知」「相手への善意の認知」 カスパーソン、1986 「能力」「配慮」「予測可能性」「目的に向けてのコミットメント」 中谷内 他、”リスクの社会心理学”, 2012
  34. 信頼の構成要因 2019/6/15 ISACA名古屋支部特別講演会 65 ピータースら、1997 「知識と専門性」「開放性と正直さ」「相手への関心と配慮」 メトレイら、1999 「能力要素についての評価」「感情的要素についての評価」 ジョンソン、1999 「能力」「配慮」

    おおよその同意 • 信頼は複数要素から構成 • そのうちの1つは能力認知。主に過去の実績に基づいて評価。 • 「人柄」該当要素も信頼を規定するが、複数に分けられることもある • その場合、リスク管理者そのものの評価(正直、誠実など)とこちら との関係性の評価(配慮、善意)に分けられる 中谷内 他、”リスクの社会心理学”, 2012
  35. A BRICK WALL, A LOCKED DOOR, AND A BANDIT: A

    PHYSICAL SECURITY METAPHOR FOR FIREWALL Fahimeh Raja, Kai-le Clement Wang, Kirstie Hawkey, Konstantin Beznosov, Steven Hsu 2019/6/15 ISACA名古屋支部特別講演会 66 https://cups.cs.cmu.edu/soups/2011/proceedings/a1_Raja.pdf
  36. • 相手の認証(大半の利用はサーバ認証だけ) • 利用する暗号技術の選択 • セッション鍵生成 SSL/TLSとPKIの信頼 2019/6/15 ISACA名古屋支部特別講演会 69

    Secure Socket Layer(SSL) Transport Layer Security(TLS) • PKIの最大のアプリケーション • 通信路の暗号化、通信相手の認証、受信メッセージの認証などの機能を持つ TLSネゴシエーション
  37. いくつかの暗号技術の紹介:PKI 2019/6/15 ISACA名古屋支部特別講演会 70 認証局(CA)の信頼 ブラウザーやOSがあらかじめ信頼できる認証局のリストを持っている (トラストリストモデル) 証明書の有効性 • CAは証明書発行時に有効期限を設定する

    • 利用者が鍵の紛失や漏洩などをした場合、証明書を無効とする(失効) 利用者側が行う確認 • 証明書が信頼できるCAから発行されているか • 証明書に記載されている情報に間違いがないか(Webサーバー証明書の場 合、アクセス先のホスト名と同じ名前が書いてあるか) • 有効期限 • 失効
  38. 信頼が揺らぐとき 2019/6/15 ISACA名古屋支部特別講演会 71 認証局が攻撃を受ける 2011年、オランダの半官半民ルート認証局DigiNotorに対する不正事件と 500枚超に及ぶ証明書の不正発行 認証局が悪意を持って行動する CNNIC事件 •

    2015年、CNNICのルート認証局下でエジプトの中間 認証局自身が証明書の不正発行 WoSign事件 • 2016年、偽物の証明書を大量に発行 • サブドメイン保持者がメインドメインの証明書発行 が可能に • イスラエルのStartComを買収したが所有権変更を明 かさなかった
  39. Usable Security / Usable Privacyの難しさ Webサイトのユーザビリティ セキュリティの実現とプライバシーの保護 Webサイトの本来の目的を達成するためのユーザビリティ • サービス(Webサイト等)の本来目的ではなく、要素の1つ

    • 第3者(悪意のある・なしを問わず)の存在から守られなければな らない • しかしこの要素は時に本来目的を阻害することもある 合わせて考える 本来目的を阻害せず、SecurityとPrivacyの 高いユーザビリティを実現 2019/6/15 ISACA名古屋支部特別講演会 73
  40. ユーザーの行動原理の認識、把握 • ユーザーってこういうパスワードを付 けてしまいがち • ユーザーってこういう情報が付与され ていると強いパスワードをつけがち どう実現する? 人間の行動原理 •

    未知の部分が多い • 新しい世界、文化 • 例:「スマホをみんなが持ちました。スマホ持ったユーザーって 移動中に何をする?」 解決のフロー 行動原理を応用した 高いユーザビリティの実現 パスワードのケース では「こういう情報」を効果的に配置し ましょう 2019/6/15 ISACA名古屋支部特別講演会 74