吉濱佐知子

2008年NAHAマラソン完走の様子

日本アイ・ビー・エム（株）東京基礎研究所で、情報セキュリティ関係の研究に従事しています。 特にWeb 2.0/SaaSのセキュリティ、情報フロー制御や情報漏えい対策技術に興味を持っています。

経歴

• 1993～2001年 株式会社セック勤務
• 2001～2003年 IBM T.J. Watson Research Center 勤務
• 2003年～現在 日本アイ・ビー・エム株式会社 東京基礎研究所
• 2008年4月～現在 情報処理学会 CSEC研究会 専門委員
• 2009年4月～現在 情報処理学会 学会誌編集委員

プロジェクト

• Web 2.0/SaaS Security
• Data Leakage Prevention
• Trusted Computing and Trusted Virtual Domains
• BlueSpace

趣味

• ジョギング（マラソン）
• 登山

Ajax (Asynchronous JavaScript + XML を組み合わせた造語) などのプログラミングモデルの普及により、Web 2.0 では Web ブラウザ上で使い勝手の良いユーザインタフェースを実現したり、マッシュアップにより複数のコンテンツやサービスを連携させることが容易になってきました。一方で、こうした技術がWebアプリケーションに対する新しいタイプの脅威をもたらすようになりました。

特に現在のWebブラウザでは、同じドメイン（またはサーバ）から送られてきたコンテンツは互いに信頼できるということを前提にした、同一起源ポリシー (same-origin policy) というセキュリティモデルが採用されています。しかし、Web 2.0 の世界では、動的なプログラミングモデルやユーザ生成コンテンツ、マッシュアップにより、こうした前提が崩れてしまっています。

我々の研究チームでは、異なる側面からこれらのWeb 2.0のセキュリティ問題を解決するような技術の研究開発を行っています。たとえば、サーバ側での攻撃防御技術、プロキシサーバによる攻撃検知やフィルタリング、ブラウザのセキュリティモデル再検討などです。Ajaxにおけるセキュリティ脅威については、developerWorksの記事などをご覧ください。

計算機環境の多様化と複雑化、また多種の脅威や攻撃の偏在により、コンピューティングシステムが正しく振舞うか、ということを信頼することが難しくなっています。トラステッド・コンピューティング技術により、遠隔地にあるコンピュータのインテグリティを安全な方法で検証することが可能になります。トラステッド・コンピューティングは次世代のIT環境で、セキュリティのレベルを上げるための重要な技術と考えられます。

• IBM Research Security Page
• Trusted Virtual Domains web page at IBM Research
• 東京基礎研究所のプロジェクトページ
• 2006年11月30日～12月1日に 2nd Workshop on Advances in Trusted Computing (WATC'06 Fall) を開催しました。
• Trusted Mobile Platform は、モバイル端末向けの次世代のセキュリティアーキテクチャを提案した仕様です

IBM T.J. ワトソン研究所時代に、パーベイシブ・コンピューティングに関する研究を行っていました。これは米国大手オフィス家具メーカーのSteelcaseとの共同研究で、次世代のオフィス家具とIT技術を融合させることにより、未来のオフィスを実現するというものです。

BlueSpace は、NY Timesを含む多くのメディアで紹介されました。また、CeBIT, Gartner Symposium, etc. などの多くの国際的ショウでデモが行われました。

BlueSpaceではセンサーやアクチュエータ、ディスプレイ技術、未来的なオフィス家具や Everywhere Displays などの様々な技術を融合させ、未来のオフィス環境をデモンストレーションしました. 私自身は特にコンテキスト・アウェア・コンピューティングに興味があり、コンテキスト･アウェアなアプリケーションを開発するためのフレームワークの研究を行いました．

• BlueSpace

2010

• New Sachiko Yoshihama, Takuya Mishina, Tsutomu Matsumoto, Web-based Data Leakage Prevention, International Workshop on Security (IWSEC) 2010, Nov 22-24, 2010, Kobe, Japan.
• New 宇根正志, 鈴木雅貴, 吉濱佐知子, クラウド・コンピューティングにおける情報セキュリティ管理の課題と対応, INSTITUTE FOR MONETARY AND ECONOMIC STUDIES (IMES) Discussion Paper No. 2010-J-24. URL: http://www.imes.boj.or.jp/security/
• New Sachiko Yoshihama, Information-Flow Control for Web Application Security, a doctoral dissertation.
• 三品拓也, 吉濱佐知子, 浦本直彦, 機密情報の漏洩を防ぐための文書再利用検出技術, 第49回コンピュータセキュリティ研究発表会, 2010年5月11日.
• 石田愛，吉濱佐知子，浦本直彦（日本アイ・ビー・エム株式会社）, 異常検知手法を用いたHTML内のスクリプトインジェクション検知, コンピュータセキュリティシンポジウム(CSS) 2010. (Japanese)

2009

• Frederik De Keukelaere, Sachiko Yoshihama, Scott Trent, Yu Zhang, Lin Luo, Mary Ellen Zurko, Adaptive Security Dialogs for Improved Security Behavior of Users. In proceedings of the 12th IFIP TC 13 International Conference on Human-Computer Interaction (INTERACT 2009) Part I, pp.510-523, Uppsala, Sweden, August 2009.
• Sachiko Yoshihama, Takaaki Tateishi, Naoshi Tabuchi, Tsutomu Matsumoto, Information-flow-based Access Control for Web Browsers. IEICE Transactions Vol.E92-D,No.5: May. 2009. 内容は 学位論文にも収録.

2008

• Frederik De Keukelaere, Sumeer Bhola, Michael Steiner, Suresh Chari, Sachiko Yoshihama: SMash: secure component model for cross-domain mashups on unmodified browsers. WWW 2008: pp.535-544
• Seiji Munetoh, Megumi Nakamura, Sachiko Yoshihama, Michiharu Kudo: Integrity Management Infrastructure for Trusted Computing. IEICE Transactions Vol. E91-D, No.5: pp.1242-1251, May 2008.

2007

• Takuya Mishina, Sachiko Yoshihama, Michiharu Kudoh, Fine-grained Sticky Provenance Architecture for Office Documents, in the International Workshop on Security 2007 (IWSEC2007), October 29 - 31, 2007, Nara, Japan, Lecture Note in Computer Science, Vol. 4752, Springer 2007.
• Sachiko Yoshihama, Takeo Yoshizawa, Yuji Watanabe, Michiharu Kudoh and Kazuko Oyanagi, Dynamic Information Flow Control Architecture for Web Applications, in Proceedings of the 12th European Symposium Research Computer Security (ESORICS 2007), September 24-26, 2007, Dresden, Germany, Lecture Notes in Computer Science, Vol. 4734, Springer 2007.
• Sachiko Yoshihama, Michiharu Kudoh, Kazuko Oyanagi, Language-Based Information Flow Control in Dynamic Approach, in IPSJ Journal, September 2007. Also available as IBM Research Report RT0694. (in Japanese)
• Frederik De Keukelaere, Sumeer Bhola, Michael Steiner, Suresh Chari, Sachiko Yoshihama, SMash: Secure Cross-Domain Mashups on Unmodified Browsers, IBM Research Report (RT0742), June 2007.
• Sachiko Yoshihama, Naohiko Uramoto, Satoshi Makino, Ai Ishida, Shinya Kawanaka, and Frederik De Keukelaere, Security Model for the Client-Side Web Application Environments, Web 2.0 Security & Privacy 2007 (W2SP2007), May 24, 2007, Oakland, CA, USA.
• Yasuharu Katsuno, Yuji Watanabe, Sachiko Yoshihama, Takuya Mishina, Michiharu Kuodh, A Multi-Layered Attestation on Trusted Virtual Domains, SCIS 2007.

2006

• Yasuharu Katsuno, Michiharu Kudo, Yuji Watanabe, Sachiko Yoshihama, Ronald Perez, Reiner Sailer, and Leendert van Doorn, Towards Multi-Layer Trusted Virtual Domains (slides), the 2nd Workshop on Advances in Trusted Computing (WATC '06 Fall), November 2006, also available as IBM Research Report RT0650.
• Yasuharu Katsuno, Yuji Watanabe, Sachiko Yoshihama, Takuya Mishina and Michiharu Kudo, Layering Negotiations for Flexible Attestation, In Proceedings of the First ACM Workshop on Scalable Trusted Computing (STC'06), ACM Press, November, 2006.
• Yuji Watanabe, Yasuharu Katsuno, Sachiko Yoshihama, Takuya Mishina and Michiharu Kudo, Secure Routing Mechanism for Trusted Virtual Domain and Its Application (in Japanese), in Computer Security Symposium (CSS2006), October 2006.
• Sachiko Yoshihama, Michiharu Kudoh, Kazuko Oyanagi, Inforation Flow Control for Java with Inline Reference Monitors, (in Japanese), in Computer Security Symposium (CSS2006), October 2006.
• Yuji Watanabe, Sachiko Yoshihama, Takuya Mishina, Michiharu Kudo and Hiroshi Maruyama, Bridging the Gap between Inter-Communication Boundary and Inside Trusted Components, in the 11th European Symposium on Research in Computer Security(ESORICS 2006), Lecture Notes in Computer Science, Vol.4189, Springer, September 2006.
• Sachiko Yoshihama, Platform Trust Based Access Control Framework (in Japanese), Symposium on Cryptography and Information Security 2006 (SCIS2006), January 17-20, 2006, Hiroshima, Japan.
• Yuji Watanabe, Sachiko Yoshihama, Takuya Mishina, Michiharu Kudoh, Security Assurance Model for Software-Execution Environment Using Trust Management (in Japanese), in the Proceedings of the 2006 Symposium on Cryptography and Information Security (SCIS2006), Jan. 17-20, 2006, Hiroshima, Japan.
• Megumi Nakamura, Seiji Munetoh, Sachiko Yoshihama, Effciency improvement of integrity verification for Thin Client (in Japanese) , in the Proceedings of the 2006 Symposium on Cryptography and Information Security (SCIS2006), Jan. 17-20, 2006, Hiroshima, Japan.

2005

• A. Bussani, J.L. Griffin, B.Jansen, K. Julisch, G. Karjoth, H. Maruyama, M. Nakamura, R. Perez, M. Schunter, A. Tanner, L. Van Doorn, E.A. Van Herreweghen, M. Waidner, S. Yoshihama, Trusted Virtual Domains: Secure Foundations for Business and IT Services (Whitepaper, RC23792), November 9, 2005.
• S. Yoshihama, M. Nakamura, K. Sorensen, S. Munetoh, Thin Clean Client, IBM Research Report RT0631.
• S. Yoshihama, T. Ebringer, M. Nakamura, S. Munetoh, H. Maruyama, WS-Attestation: Efficient and Fine-Grained Remote Attestation on Web Services, to appear in the 2005 IEEE International Conference on Web Services (ICWS 2005), July 11-15, 2005, Orlando, Florida, USA, also available as IBM Research Report RT0598.

2004

• Trusted Mobile Platform Specifications Rev. 1.0 Oct 27 2004
• S. Yoshihama, Web Services Assurance: Verifiable Trust and Security in Service Level Agreement, IBM Research Report RT0576.
• S.Yoshihama, P.K. Austel, H. Maruyama, Assuarance of Web Service, Symposium on Cryptography and Information Security 2004 (SCIS2004), January 27-30, 2004, Sendai, Japan.
• Hiroshi Maruyama, Frank Seliger, Nataraj Nagaratnam, Tim Ebringer, Seiji Munetoh, Sachiko Yoshihama, Taiga Nakamura, Trusted Platform on Demand (TPod), February 1, 2004, IBM Research Report RT0564.

2003

• Sachiko Yoshihama, Paula K. Austel, Hiroshi Maruyama, Assurance of Web Services, October 20, 2003, IBM Research Report RT0553.

BlueSpace (2001-2003)

• Sachiko Yoshihama, Paul Chou, Danny Wong. "Managing Behavior of Intelligent Environments". Proceedings of First IEEE International Conference on Pervasive Computing and Communications (PerCom'03), March 23 - 26, 2003, Fort Worth,Texas.
• Lai, J., S. Yoshihama, T. Bridgman, M. Podlaseck, P. Chou and D. Wong (2003). "MyTeam: Availability Awareness through the Use of Sensor Data". Proceedings of Ninth IFIP TC13 International Conference on Human-Computer Interaction (Interact 2003), September 1-5, 2003 - Zurich, Switzerland.
• P. Chou, M. Gruteser, J. Lai, A. Levas, S. McFaddin, C. Pinhanez, M. Viveros, D. Wong, and S. Yoshihama, "BlueSpace: Creating a Personalized and Context-Aware Workspace", Research Report RC22281, December, 2001.
• S. Yoshihama, P. Chou, and D. Wong, "Personalizing Behavior in Context-Aware Workspaces", Resaerch Report RC22480, June 2002.

• Sachiko Yoshihama, Tim Ebringer, Megumi Nakamura, Seiji Munetoh, Takuya Mishina, Hiroshi Maruyama, WS-Attestation: Enabling Trusted Computing on Web Services, in Springer Monograph on Test and Analysis of Web Services, September 2007, also available as IBM Research Report RT0695.

• 吉濱佐知子, 企業システムでも使われるウィジェット技術 第2回 「OpenAjax Hub 2.0 による安全なマッシュアップ」 CodeZine 2009年11月24日. IBM developerWorks でも同記事公開.
• 吉濱佐知子, 石田愛, 浦本直彦, Web 2.0アプリケーションにおける代表的な攻撃手法とその対策, 情報処理 Vol. 50, No.1, 2009年1月.
• 森谷 直哉, 中林 紀彦, フレデリク・デクゥーケラーレ, 吉濱 佐知子, エンタープライズ・マッシュアップ －企業におけるマッシュアップ活用の考え方と実現方法－, IBM PROVISION No.59, Fall 2008.
• 浦本直彦， 吉濱佐知子, 牧野聡, "Web 2.0 におけるセキュリティー －セキュアなWeb 2.0環境構築のために－ ", IBM PROVISION No. 55, Fall 2007.
• 上杉忠興, 圷毅, 宗藤誠治, 吉濱佐知子, Trusted Network Connect : TPMの利用管理技術の動向, 情報処理 Vol. 48 No.11, November 2007.
• Sachiko Yoshihama, Frederik De Keukelaere, Michael Steiner, Naohiko Uramoto, "Overcome security threats for Ajax applications - Learn tips and best practices to secure your mashup apps", developerWorks, June 19, 2007.
  • もともと英文の記事ですが、他の言語にも翻訳されています: (日本語, 中国語, 韓国語)
  • 本記事を拡張したバージョンが OpenAjax Whitepaper として公開されています。
• 丸山宏, 吉濱佐知子, 「信頼できるコンピューター・プラットフォームの構築」, Cyber Security Management ，2003.

• IBM Research 2008 Technical Accomplishment
• Excellent Paper Award, Institute of Information Security, March 2006
• IBM Research Division Technical Group Award for Creating Mindshare through BlueSpace Prototype.

関連プロジェクト

• Web 2.0/SaaS セキュリティ

• 仮想信頼ドメイン

• BlueSpace