先日 YLUG カーネル読書会でバッファオーバフロー防御技術に関して話をした。
(資料はここ http://home.att.ne.jp/theta/yasunori/security/BufferOverflowProtection.pdf )
その場でも話をしたのだが、各方式をなるべくバイアスがかからないで性能比較したデータが非常にほしい。各論文では当然性能比較はあるのだが、比較条件が全然違ったりしてすべての方式を比較するのに十分なデータにはならない。これって、方式を採用するために重要な評価項目だと思うけど、やっぱりこういうデータは各社などがプライベートには評価してもオープンになることはないんだろうなぁ。

あと、もう一つの問題は、どこまで対策を施せば十分かを定量的に評価する方法が確立されていないことだ。リスクマネージメントのアイデアは適用することはできるが、最終的に評価するために定量化するところで難しい。理論化(系統化)されてないので、現場では知識と経験からボトムアップ的に決めているのだろうか。JNSA がコンピュータセキュリティに関するリスク評価の計算式を確立しようとしているが、これはおもしろい試みで注目している。特に定量化しずらいブランドイメージの低下を株価の推移から読み取ろうという試みは難しいとは思うが、非常におもしろい。今後の成果に注目といったところだろうか。
(JNSA の当該の資料はここ http://www.jnsa.org/active1a.html)