喜連川先生、どうも御紹介ありがとうございました。
　私は本学の者として基調講演をさせていただくことを大変光栄だと思っておりますが、今、御紹介にありましたように今から３年前くらい前からいわゆるセキュリティ、我々は特にソフトウェアセキュリティという少し耳慣れない言葉かもしれませんが、普通はコンピュータセキュリティとか、もう少しジェネラルな名前を使うのですけれども、ソフトウェアセキュリティを中心とした特定研究というものを立ち上げまして３年半やってまいりました。ある意味でそれの成果とか、そのときに考えたことなどをいろいろ織り交ぜて話したいというか、話すべきことがたくさんあるのですけれども、これはリストアップしただけですべてこれを話すわけでもありませんし、順序も不動でございます。ですけれども、時間のある限り何かのお役に立てばと思っております。
　それで今、御紹介にあずかりましたように「社会基盤としての」というタイトルですが、すぐ御紹介いたしますけれども、こういう特定領域研究は文部科学省の比較的大きな補助金で、幾つかの大学の人々と一緒にやるのですが、これは審査があって、ほかの分野、要するに物理とか化学とか数学とか、情報関係とほとんど無関係の方々の前でプレゼンテーションをして、審査を受けるときにどういうタイトルにするかがものすごく重要で、そのときに思い付いたのが社会基盤です。実際にウエブというのが社会基盤になりつつある時代でしたから、社会基盤というのは道路その他に比べていいのではないかということで使いました。それから、我々はセキュリティのことがしたいですし、コンピュータのソフトウェア一般のつくり方の研究もしたいということがありました。ですから、こういうタイトルを選びました。
　ほとんどここにおいでの方はこういうことは御存じかもしれませんけれども、一応特定研究というのは国として重点的に推進する研究課題ということで、20人から50人くらいの研究組織、基本的には大学人ですね。これは３、４年前の統計ですけれども、割と採択率が低くて10倍とかです。これはいわゆる分野の争いという言い方は変ですけれども、先ほど申しましたように情報はいつも新参者で、割と社会的なニーズがありながら毎年１、２件しか通らないということがあります。ですから、こういう特定領域研究というものは象徴的な意味が文部科学省の中では非常に高いのですけれども、こういうものを大きな研究をするときにものすごい努力をしてもらうことが得かどうかということは疑問には思いませんが、我々は１回目で通ったのでよかったんですけれども、何度やっても通らない方もありますし、なかなか難しい。あるいは、審査員の中に我々が入っていかないとだめです。特に驚いたのは、私は気が付かなかったのですけれども、この審査をしたときの審査委員長というのは野依先生だったのです。そのときは野依先生だと知らなくて勝手なことを言いました。
　それから、実際に我々は６つの異なる大学で９つのグループです。ですから、余り大学間のディストリビューションというか、バランスを考えないで、同じ大学で２つのグループとか３つのグループがあるような、でもソフトウェアをちゃんとつくれるという言い方は失礼かもしれないですけれども、そういう方に入っていただきました。それで、大体基本的な参加者は35人で1.5億円ということです。
　基本的に強調したことは暗号で、いわゆるコンピュータのセキュリティというと３年半、４年前くらいまでは何でもかんでも暗号でした。それから、その当時はまだ量子計算とか、そういう話が出てきて、また暗号で、暗号は全然関係ないのだということで非常に強調し、かつコンプリメンタリーだからと。要するに、暗号もやらなければいけないけれども、暗号だけではだめで、ちゃんとソフトウェアとしてシステムとして安全なものを組み上げて、暗号を組み込んだソフトウェアをつくっていかなければだめなのだということを非常に強調しました。
　この辺は社会基盤だ、何だかんだという話です。それでもう少し言いますと、ソフトウェアの安全な研究でもいろいろあるわけですけれども、基本的にサーバという言葉は審査員の多くの人々は知っていると思ったので、サーバコンピュータの中にあるソフトウェアの安全性を保証するものなのだという言い方で、わかったような、わからないようなことですけれども、サーバと言ってもいろいろありますから。
　それで、ではどういう危険が待っているか。悪意があるとか、誤りがあってプログラムが外から入ってくる。それから、それによって破壊され、秘密が漏洩するとか、ウイルスという言葉はだれでも知っている時代にちょうどなっていましたから、オーバーラップしていることを別にいとわず、コンピュータウイルスに対処するのだと。それから、なりすましなどということはわかっているかわからないかはわからないですけれども、正当な利用者のふりをして計算機に入ってくる、あるいは不正に使う。こういうことが脅威である。あるいは攻撃に耐え得るとか、事故に耐え得る。これは、多少越権的なところもあります。越権というか、いわゆるコンピュータセキュリティというよりは今トラスタブルなトラストワーズリーなコンピュータにもう少しジェネライズした言葉で言った方がいいと思います。ですから、ソフトウェアトラストとかですね。この前、ＮＳＦのコンピュータサイエンス・アンド・エンジニアリングのディレクターとお話をしたら、ソフトウェアトラストという言葉を最近使って大きなものをやろうとしていると言っていました。ですから、セキュリティもある意味で狭いレベルかもしれません。
　それから、我々はセキュリティ、セキュリティと言ってすべての35人とか９グループが全部いわゆるセキュリティのことをやっているわけではなく、ソフトウェアの基礎的な研究をやっておられる方もいらっしゃるし、ロジックをやる方もいる。そういう人も、やはりエンブレイスというか、一緒にやらないと我々としてもつまらないので、なるべく申請書ではもう少し広く、核としてはこういうところになるけれども、それをやるためには、これこれこういうソフトウェアの研究が必要なのだというようなことを書いて、普通のソフトウェアの研究と言うと変ですが、正しくプログラムが動くとか、それもセキュリティの一つですけれども、そういうことが入るように、そういう人々の研究も含め得るように工夫をいたしました。あとは持続性とか、頑強なロバストな話です。
　それで、これも皆様には全く釈迦に説法なのですけれども、こんなようなことを言いながら審査員を説得したというところで聞いていただければいいと思うのですが、ちょうど審査が終わった後１か月くらいして時期的にはアイ・ラブ・ユー・メールというものが幸か不幸かばっとはやったというか、世界じゅうに蔓延した。それを新聞で見て、こうなったのでこの申請は通るなというふうに手前みそなんですけれども、要するに社会的ニーズが高いという部分で引っ掛かるなと思って、変な話ですが、喜んだのです。
　これは、要するにメールでそのウイルスの説明をしたわけです。メールというのは何かと言うと、メールシステムというのはどうしてもどこか外とつながる穴が空いていなくてはいけない。もちろん穴の中に完全に閉じこもっていれば全く安全なわけですけれども、外に向かって開いている部分がない限り何も通信ができないわけですから、そういう意味でメールというのは格好な材料なので。
　それから、メールの本文のほかに添附ファイルというものがあって、これがわかっている人はどのくらいいるかわからなかったのですけれども、それは多くの場合プログラムを含み得る。このプログラムの中にウイルス、ウイルスというのはプログラムだというのはわかっているかどうかはわからないのですけれども、悪いことをするものがいる。それはプログラムだと思う。それで、今までは例えばマイクロソフトのアウトルックとかはこういうことを全然想定してつくっていなかったということを指摘しておきました。
　では、従来こういうメールと一緒に添附されてくるファイルに対してどうするかというと、その対処法として一番いいのはその添附ファイルを開かない。危ないから怪し気なメールは開かない。メールで文だけは見ても添附ファイルは開かない。でも自動設定、自動的な最初のデフォルト設定で添附ファイルが開くようになってしまっているものもある。　では、ワクチンを使いましょうということで、ワクチンも何だかよくわからないのですけれども、左側はおわかりだと思いますが、いわゆるウイルスとしてわかっていてそれに対するワクチンを除去する、あるいは危険だということを検知する市販のものがあるという種類のプログラムですね。右側は四角がプログラム全体だと思っていただいて、良性のというか、悪いことをしない添附ファイル、あるいは普通のプログラムです。
　その中間の未知がウイルスかどうか。要するに、ワクチンというのは今までそれが悪いことをするということがわかっているからそれが登録されていて、そのパターンを使って検知することが基本的ですから、そういう部分とか、あるいは基本的にウイルスで悪いことをするものをインテンドしたプログラムが非常に巧妙に仕込まれているプログラムの領域が中に大きくある。この部分を何とかワクチンなどというものではなくて、ある意味で科学的にもう少しちゃんとしたエンジニアがつくってここの領域を減らしたいんだという説明です。
　それで、我々が今の黄色い部分、薄ピンク色の領域を減らすための基本的な戦略は何かということで３つ挙げました。１つ目のいわゆる理論的に裏付けられた方法でというのは、いわゆるプログラムで言うソースコードの解析なのですけれども、最近タイプ型システムの中でも比較的軽くて割とある種のプログラムの、これもパターンといえばパターンですけれども、使い方の変数とか、変数のタイプの使い方のおかしさとか、あるいはメモリのおかしさなどを型理論としてチェックする理論が15年前から比べれば相当進歩してきた。ですから、これを使いましょう。まずこれが第１です。
　これでだめなときは、危険性がありそうな場所については無害化するというか、もっと安全な部分に書き換えるＳＦＩというんでしょうか、ソフトウェア・フォールト・アイソアレーションみたいなものですけれども、そういう無害化をする方法ですね。これもものすごくいろいろなテクニックがあるわけです。それから、最近のＪＡＶＡにしろ何にしろバーチャルマシンで走る部分とか、それからＯＳで走る部分、その辺である種の監視実行をしながらおかしなところにアクセスするようなことがあったり、ちょっとメモリの変なことをするようなものがあればそこでチェックをする。もちろんこういうことは開放されていないのでわかりませんけれども、市販のセマンティックとかノートンのワクチンではやっていないと思います。それで、この分け方がいいかどうかはわからないんですが、この２と３をいわゆるサンドボックス法の広い解釈として使いました。
　サンドボックスというのは何かというと、砂場ですね。子どもが遊ぶ砂場です。これは砂場のつもりですけれども、三次元の砂場で、要するにおりの中である種の実行をする。それが変なところにアクセスするとどこかで引っ掛ける。外に怪し気なネットワークとか、いけないところを触るとここで起こるというようなことがジェネラルな見方です。これは能率、効率よくつくるとか、いろいろな研究所あるいは論文を書く上でたくさんやらなくてはいけないことがあるわけです。



　それで、こういう３つのストラテジーにのっとって先ほどの無害化されている部分、それから我々は防除網と呼んでいますけれども、最初から大丈夫なところは解析で大丈夫だとわかりますし、どうかなとわからないところは無害化する。それでもだめなところは監視実行するというようなことをして、ここの全体のどうしようもない部分がだんだん減っていくというような説明をいたしました。
　少しだけ振り返って、プログラムあるいはソフトウェアのシステムをつくるということで、これは非常に簡単にした図で恐縮なんですけれども、まずプログラム言語があって、その言語を使ってアプリケーションのソフトウェアを書く。それで、それはコンパイラなどを通していわゆるプログラムの実行系を使いながらＯＳの上で動くとか、あるいは認証系などがある。こういうプログラムをこうやってつくっていくということ自体、余り理解されていないところも、少し大きなプログラムになるとこうやってつくるんだよということも理解されていないことが、いつも審査員オリエンテッドな話をしているわけではないんですけれども、あるわけです。
　そうすると、各々の長い丸のプログラムだったらどういうプログラムを使うか、あるいはその結果、それ用のためにどういうプログラムを設計するか。この設計の仕方によって、インセキュアなものが生じてしまう。あるいは、このプログラムからアプリケーションの各段階でまたインセキュアな原因がここの中に入っていく。実行段階でもそういうことが起きる。それから、もちろんこの辺においても起きるんだというように、幾つもいわゆるインセキュリティホールを生ずる原因、あるいは原因になり得る場所があるということを理解してもらうことは割と重要なのではないかと思って、かなり幅広い研究をしないと全体としてセキュリティというものを、ソフトウェアはセキュリティだけですけれども、それでさえも押さえていくことは難しいというふうに強調いたしました。
　あとは言葉だけですけれども、今の３つのそのころはやりだったセーフティーネットという言葉で、我々としては三重のセーフティーネットですね。一番上の部分は、ここからプログラムはくるわけですけれども、プログラムを総理論的に解析するとか、あるいはプロトコル、この話はしなかったんですが、それを理論的に解析検証する。ここでだめならば、今度は言語レベルの実行とか実証とか、ちょっとこの辺は怪しいというか、そのまま素直に落ちるかはわからないですけれども、これで引っ掛ける。それから、実行時にサンドボックスないしはその他のもので危なかったら止める。これが実行前にやることと、それから実行中にやることです。この絵は割とわかりやすかったようです。

　これで審査員用の話は大体終わりなんですけれども、どんな方にやっていただいたかというと、理論グループでは代表者が９つのグループプラス我々の学科の萩谷先生には総括班に入ってもらって萩谷特別グループというものをつくって理論的な研究をしていただきました。それで米崎先生、二ツ木先生、東工大の小林さんですね。それから、私のグループは東工大の柴山さんと渡部さん。それから、慶応の徳田先生、筑波の加藤先生、溝口先生はＰＴＩとか後で時間があれば御紹介しようと思うんですけれども、いろいろな面白いことをされているので入っていただきました。これで全部で９つの大学ということになります。
　それで、この特定研究の最近の傾向だと思うんですけれども、嫌なところと言えば嫌なところなんですが、要するに比較的大きなお金を大学のグループに渡すということで、要するにばらまきは許さんぞということで、幾つかのグループはちゃんと連携して何か研究をしてしっかり成果を見せろということを最初からしつこく申請して審査の段階のプレゼンテーションのときに、どうするんだということで聞かれます。
　最初は慶応のキャンパスシステムをつくるんだとか何とかと言ってごまかしたんですけれども、そこはなかなか大変というか、たくさんのグループをインボルブしていただくことはしにくかったので、これはかなり強引に私が安全なメールシステムをつくるということで、最初は随分でもないですけれども、各班の代表者から反対がありましたが、これでやるということで、結局後で御紹介しますけれども、ちゃんとできて、すごく使っているというところまではいかないですが、やっております。それで、中心になったのは東工大の柴山先生で、後でお話をする田浦さんなどもコードを書いていただいたりしました。
　この辺は、メールがなぜ大事かということだからどうでもいいでしょう。

　さっきのメールのパブリックなサーバは隠し切れないとか、バッファーオーバーフローな弱点が次々に発覚している。それで、ここでも安全メールというものをつくる上においても先ほどのスリーレイヤードの三層のセーフティーネットのアプローチというものを実際に使っています。これは多分特別なプロトコルをつくって、どこをルーティングしてきてどこで何が起こったかということがわかるような、それが正しく動くんだということを理論的に証明もしています。
　それから、これはＪＡＶＡを使ったというのでオーバーフローは起きないんですけれども、あとはランタイムで先ほどのサンドボックスみたいないろいろなものがプラグインできるような構造にしてあります。ですから、ある意味で既存のウイルスチェッカーなども使えますし、独自につくった今、産総研にいらっしゃる森さんがつくっておられる、新しいと言ってもしようがないんですけれども、新しいウイルスのディテクションの方法とか、そういうものが皆、取り込めるようになっていまして取り込んであります。
　時間の問題で現状をどのぐらい言っていいのかわかりませんが、ＳＭＴＰとＰＯＰ３で、私たちの研究室はＡＰＯＰなので実際には動いていないんですけれども、互換性があるというようなことですね。それから、サーバの部分とメーラの部分とを分けてそれぞれ全部自分でつくった。全部というか、ＳＭＴＰの大事なところは田浦さんに書き直してもらって、それを小林さんが数学的な検証をやっています。
　それでこの辺で動くんですけれども、ベータ版というのがどこまでかはわからないんですが、一応リリースはしています。それで、さっき形式的検証でＣｏｑというのは理論的な高次高階のロジックでベリファイヤーのツールでつくる証明支援系です。これがちゃんと検証しているということで、これは信用してもらうしかないです。
　それから、先ほども申しましたように、メーラの部分には静的な解析とかコード変換、動的モニタリングをするものとか、そういうものが全部プラグインできるようになっています。ですから、カスタマイズできる。それで、お互いにインディペンデントですからそれぞれの問題が波及することはない。

　それから、安全なプロトコルもつくったというわけです。それで経路認証、これはＢＡＮロジックというある種のセキュリティの話では時々使われるロジックです。これは日本製ではないですけれども、それについて検証してあるということです。そして、ドキュメントもあります。
　この辺で、例えばプロトコルの仕様を満たさないリクエストはリジェクトする。それからこの間に何か起きたとき、フェイタルなエラーが起きてもプロトコルを満たすようなリクエストだけは受理する。受理するところがフェイタルだったら困りますけれども、あとはこの辺にたまったものが必ずなくなってしまわないで元に復旧できるというようなことが証明されています。

　それから、ベリフィケーションのことは興味はないかもしれませんけれども、600行のソースコードを実はファンクショナルなものに変換する。今はもう少し直接的にやる別な方法を考えていまして、その部分を書いていますけれども、証明のサイズが5,000行になる。600行の方が正しいということで、仕様のサイズは300行でそれを証明するのに5,000行、もちろんツールを使うわけですから全部5,000行書くわけではないんですけれども、これは非常にスキルフルな小林さんがやられて100人時間がかかったというある時点でのデータです。


　メーラの見栄えはこのようにごく普通のメーラで、最後の年に千数百万お金が余ったということではないんですけれども、最初からそういうつもりで細かい部分を外注しました。全部自分たちが書くことはやっていられないですし、退屈してしまいます。





　それで、ほかにどんな成果があったかということです。最初の話はたくさんあって書き切れないんですけれども、例えばＪＡＶＡがある種のセキュリティの問題をうまくモデル化しています。これは萩谷さんの方ですけれども、ＪＡＶＡのダイナミックなクラスローダをモデル化して欠陥、問題を発見して修正した。問題は別の人が見つけていたんですけれども、どうしていいかわからなかったので、これをサンに報告してサンが修正して直したということです。そんな話とか、言語系は安全なコンパイラは今はまだ全然、これは息の長い話でこういうデザインを始めたという感じです。でも、割と評判がよくて次のプロジェクトにつながりつつあります。

　２つ目は徳田先生のところの仕事と、それから電通大に今いる河野さんのところの仕事でＯＳ系の話です。割と細粒度で使い方、ＣＰＵその他を使う量をスロットリングするというようなものです。それから、上の方はサーバが乗っ取られてもそれ以上波及しない、あるいはすぐに止めて再スタートがある時点からきれいにできる。これは千葉さんの仕事です。
　３番は溝口先生の画像を使ったパスワードの話で、これなどは幾つかアメリカでの特許が取れたりしています。
　あとは、昨日スキャナーでごちゃごちゃといっぱい書いてきたんですけれども、この乗っ取られたなどというのは千葉さんが書いたので私のクレジットではありません。これは、クラッカーに乗っ取られても大丈夫なものをつくる話です。入れた場所がずれてしまいました。
　これがファイル・セーフＣ、安全なＣの話です。
　これは、先ほど言ったＪＡＶＡのクラスローダのモデル化の細かい話です。
　あと５分もありませんが、多分この中間評価特定研究というのは特に我々は全体で３年半だったのに、最初の１年で先ほど言われたような同じような方々の前でどこまで進んでいるかという中間評価をやられました。そのときには、もちろんどういうことを今やっていて何をやっているかというほかに、総括班で選んだ何人かの人に内部評価をしてもらったり、その結果を出したとか、それから多分、一番あれだったのは、もうこの時点ではあきらめて安全メールをつくるということにしていたので、安全メールシステムのかなり大ざっぱなデザインドキュメントを50ページくらいの冊子にして、それを配ったのがよかったとか言われました。それは内部評価と書きましたけれども、中間評価のことです。
　それで、今度の９月に我々は外部評価ではなくて終了評価というものがあるんですけれども、論文の数などというのはどこでも山のように多分ある。別にＡだＢだトップになろうとかというのではないんですけれども、やはり安全メールというソフトウェアを公開したほかにも、各人がすごくたくさんソフトウェアを公開しています。ですから、私のストラテジーと言うのは変ですけれども、ある意味で査読付きの論文のリストを最初に出す前に、公開したソフトウェアのリストをばっと出すとか、それから特許は溝口先生などが盛んにたくさん取って７、８個取っていらっしゃるんでしょうけれども、ほかの方はぱらぱらなので、ソフトウェアの研究というのは特許になじまないものだということを逆に強調しようかなと。むしろ使われて何ぼではないですけれども、だれに使われているかというようなところを、当たり前ですけれども強調する。
　それから、これはたくさん報道されるように努力しました。これは皆さんされると思うんですけれども、新聞社の知り合いのところなどに行ってシンポジウムに来てもらったり、実際に話をしたり、もちろん国際シンポジウムとかワークショップというのは３年半の間に５回くらいやりました。そのうちの２つは大きくて、シュプリンガーのこれはＬＮＣＳだけれども、もちろん外国人も半分くらいいるんですが、一応ホットトピックというものにしてくれました。
　それともう一冊、６月くらいに出ます。それから、あとは論文集を出します。それもソフトウェアセキュリティという言葉を使ってタイトルにしたので、それなりのインパクトはあったように思います。ソフトウェアセキュリティという名前の付いたカンファレンスはそれ以降２つほど出ているものを見ました。
　それから、共立出版から本のシリーズを出す。編集委員は我々のグループが大半を占める。４月くらいから２冊くらい出ると思います。
　あとは、これはどういうわけだかわからないんですけれども、半分自慢話ですが、文部省白書というものがあって、その中で科研費で何かいいことがあったかということを書く。社会に貢献した例ということで、我々が最後なんですけれども、さっきの話ではないですが、野依さんとか白川さんとか、これは文部省の研究助成課が送ってきたファイルなので私がつくったものではないんですけれども、こうやって載せてくれるらしいので、まあいいでしょうと。
　それからありとあらゆる努力をして、これも別に努力はしていないんです。向こうが言ってきたんですけれども、岩波の『科学』という雑誌のここら辺の部分はメールの話もありますけれども、今日お話のなかった千葉さんのものとか、溝口さんのものとか、徳田先生は書かなかったのか、梅崎先生のところの学生さんとかですね。あとは、これ全体がコンピュータセキュリティですから今井先生とか、坂本さんなどはコラムが載っていますけれども、そういう活動などですね。
　最後に、産学連携特任補佐の石川先生の御努力というか、まだ正式にアグリーメントはしていないんですけれども、我々のソフトウェアのセキュリティの研究のレベルが高いというか、面白いということで、マイクロソフトが去年の７月にウィンドウズのソースコードの開示の条件というものをものすごく弱めて、それで特にリサーチ・アクティビティが高い大学に開放する。すべての大学ではない。それで使ってくれという話がきて、例えば我々の安全メールの話のある部分などはウィンドウズの中に使えるかもしれないという甘い見通しで、では一緒にやってみましょうと。記事は技術協力となっていますけれども、先ほど申し上げました我々の特定研究に入っています６つの大学にグラントするというアグリーメントができつつあります。
　今、法人化のことであれしていますけれども、基本的には大学ごとですから東京大学が契約するので、東京大学の構成員であればある種のノンディスクロージャーみたいなこと、あるいは何を研究するかというネゴシエーションはあると思いますが、中が見えるようになるはずです。
　長くなりましたが、以上です。