学校法人 新潟総合学院 開志専門職大学(以下「本学」、新潟県新潟市、理事長:池田祥護、学長:北畑隆生)は、日本電信電話株式会社(本社:東京都千代田区、代表取締役社長:島田 明、以下「NTT」)と共著で、2023年12月15日(金)に一般社団法人情報サービス産業協会 ソフトウェアイノベーションシンポジウムにて、「ソフトウェアサプライチェーンにおけるソースコード漏洩を防止するセキュアド開発環境の提案と評価」と題して研究発表します。
■本研究発表の背景
ソフトウェアの開発段階で、機密情報を含むソースコードが漏洩することは致命的な問題に発展します(例えば、開発段階で機密コードが外部Webサイト上に公開される等)。主な原因は、外部の攻撃ではなく、開発プロジェクト内の開発者のミスや不注意によるものです。現在、NTTのコンピュータ&データサイエンス研究所では、これらの問題の解決に向けて、機密性の高いソースコードを見せない・触らせない状態で安心安全にプログラミング作業に集中できるセキュアド開発環境(MORDEn)の開発に取り組んでいます1)。開志専門職大学の情報学部の堀川教授と数理・データサイエンスセンター2) 鈴木教授・吉田助手の研究チームは、データ分析の技術を活かし、MORDEnの技術評価に着手しました。経験豊富なプログラマを募った実験と分析を実施し、本研究発表に至りました。
■発表内容と今後の取り組みについて
機密コード(外部に非公開とする計算アルゴリズム)を含むシステムの疑似開発プロジェクトを題材に、14人のプログラマがMORDEnを導入したプログラム開発実験に取り組み、作業データと作業終了時のユーザビリティ・生産性を評価しました。その結果、不用意な機密情報アクセスを完全に回避できたこと、参加プログラマの6割超が作業に違和感をもたず、7割超が業界標準の生産性と変わらないと評価しました。これにより、機密コードの秘匿と、開発作業の操作性・生産性のトレードオフが両立可能で、実際の開発プロジェクトへの適用可能性が見通せました。
今後も、本研究チームは、NTTと緊密に連携し、MORDEnの様々な有効性評価を、データサイエンス・AI技術の活用を通じて貢献する予定です。
1) セキュアド開発環境 [MORDEn: Micro Organized Remote Development Environment、モルデン]について
秘匿性の高いコードを別コンテナに分離しながら、プログラミング(コンパイル・デバッグ等)を実行可能とする環境設計と、コード漏洩につながるプログラマの操作や情報表示の制御を実現する技術です。これにより、機密性が高いコードはプログラマからは見えない・触れないようになり、不注意によるコード漏洩リスクを低減し、流動性の高いプログラマの機動的な調達とソフトウェアサプライチェーンセキュリティの向上に貢献します。本技術の内容は、ソフトウェア工学の最高峰の国際会議に論文が採録されています。
- 国際会議の論文情報(ASE2023):S. Saito, “Coding and Debugging by Separating Secret Code Toward Secure Remote Development,” 2023 38th IEEE/ACM International Conference on Automated Software Engineering (ASE), Luxembourg, Luxembourg, 2023, pp. 1864-1869, doi: 10.1109/ASE56229.2023.00160.
2) 本学における数理・データサイエンス教育・研究の推進拠点「数理・データサイエンスセンター」について
数理・データサイエンス分野に関する、「教育基盤の整備」「地域の大学などとの連携」「共同研究の推進」を実施していくことにより、データサイエンスに対する学生の学びや教員の研究を充実していくための支援を行うセンターです。開志専門職大学 情報学部では、専門職大学としては初めての数理・データサイエンス・AI教育プログラム認定制度(応用基礎レベル)の認定を受け、学生の実践的な能力向上を図っています。