IEEEセキュリティ・プライバシーシンポジウム - 百科事典

IEEEセキュリティ・プライバシーシミナー（IEEE S&P、IEEE SSP）、オークランド会議としても知られる、年次会議で、コンピューターセキュリティおよびプライバシーに関連するトピックに焦点を当てています。1980年にStan AmesとGeorge Davidaによって設立され、分野内のトップ会議の一つとされています。会議は単一のトラックを持っており、すべてのプレゼンテーションおよびセッションが一箇所で順次行われます。会議はまた、両者の場所が隠されるダブルブラインドのレビュープロセスを従っており、偏りや不公平を排除するために、著者とレビュアーの身元が互いに隠されます。

会議はコンピューターセキュリティおよびプライバシーに関するアイデアを交換する小規模のワークショップとして始まりました。初期の数年間は理論的研究に重点を置いていました。この時期には、暗号学者とシステムセキュリティ研究者の間に亀裂があり、暗号学者はしばしばシステムセキュリティに焦点を当てたセッションを離れていました。この問題は、同じセッションで暗号学およびシステムセキュリティの議論を組み合わせることで解決されました。2011年に、会場の規模の問題によりサンフランシスコに移転しました。

会議は単一のトラックを持っているため、採用率が低いです。会議のレビュープロセスは、新規性に焦点を当てて様々な基準で論文を評価します。2022年に、IEEE S&Pなどのトップセキュリティ会議のレビュアーにインタビューを行った研究者によると、レビュー基準の不統一により会議のレビュープロセスが利用可能であることが判明しました。レビュアーは、レビューの質を重視して新しいレビュアーをメンターとして育成することを推奨しました。

2021年には、ミネソタ大学の研究者が、研究所の監査委員会（IRB）の承認なくLinuxカーネル、広く使用されているオペレーティングシステムのコンポーネントにバグを導入しようと試みた論文を会議に提出しました。論文は受理され、発表が予定されていましたが、Linuxカーネルコミュニティからの批判を受け、論文の著者は論文を撤回し、公的な謝罪を出しました。この事件に対して、IEEE S&Pは論文のレビュープロセスに倫理的なレビューのステップを追加し、研究論文の倫理的宣言に関する文書を改善することを約束しました。

歴史
会議は1980年にStan AmesとGeorge Davidaによって、コンピューターセキュリティおよびプライバシーに関する議論のための小規模なワークショップとして始められました。このワークショップは徐々に分野内の大きな集まりに成長しました。最初はClaremont Resortで開催され、最初の数回のイベントでは暗号学者とシステムセキュリティ研究者の間に分裂がありました。この初期のイテレーションでの議論は、理論的研究に焦点を当てており、実践的な実装の考慮を無視していました。この分裂は続いており、暗号学者はしばしばシステムセキュリティのトピックに焦点を当てたセッションを離れていました。これに応じて、次のイテレーションの会議では、同じセッションで暗号学およびシステムセキュリティの議論を取り入れるパネルを統合しました。会議の参加者は徐々に増え、2011年に会場の容量の限界によりサンフランシスコに移転しました。

構造
IEEEセキュリティ・プライバシーシミナーは、コンピューターセキュリティおよびプライバシーに関連する幅広いトピックからの論文を考慮します。毎年、プログラム委員会の委員が分野のトレンドに基づいて興味のあるトピックのリストを発表します。過去の会議では、ウェブセキュリティ、オンライン虐待、ブロックチェーンセキュリティ、ハードウェアセキュリティ、マルウェア分析、人工知能などのトピックに関する論文が考慮されました。会議はプロセスにおいて単一のトラックモデルを従えており、特定の時点で一度に1つのセッションのみが行われます。これは、他のセキュリティおよびプライバシーコンファレンスで一般的に使用されるマルチトラックフォーマットとは異なり、異なるトピックに関する複数のセッションが同時に実行されます。会議はダブルブラインドプロセスを使用して論文をレビューし、公平性を確保しますが、これにより会議が受け入れる論文の数が制限され、採用率が低く、15から20パーセントの範囲にある他の会議とは異なり、たいてい1桁以下です。2023年には、IEEEセキュリティ・プライバシーシミナーは、会議に提出された論文を監査し、提出された論文の潜在的な倫理的な違反を指摘するための研究倫理委員会を導入しました。

2022年に、Ananta Sonejiらによる研究が行われ、包括的なセキュリティ会議、包括してIEEEセキュリティ・プライバシーシミナーを含むトップセキュリティ会議のレビュープロセスが利用可能であることが判明しました。研究者は、レビュープロセス中に論文を評価するために使用する基準について21人のレビュアーにインタビューを行いました。これらのレビュアーのうち、19人は論文が研究問題や最先端の技術を進めたかどうかを新規性として主要な基準としました。9人のレビュアーは、実装における技術的な妥当性の重要性を強調し、7人は自己完結した包括的な評価が必要であり、すべての特定された領域が十分に探求されたことを示しました。さらに、6人のレビュアーは、評価において明確で効果的な書き込みの重要性を強調しました。これらのインタビューに基づいて、研究者は論文の評価のための客観的な基準の欠如と、会議のレビュアーが提供するレビューの中に一定のランダム性があることを指摘し、これが会議が使用するピアレビュープロセスの主要な欠点であるとしました。これを修正するために、研究者はレビューの質を高めるために新しいレビュアーをメンターとして育成することを推奨しました。彼らは、IEEE S&Pが博士課程の学生やポストドクターフェローにプログラム委員会のレビュアーをシェードすることを認める取り組みを認めましたが、2017年の報告書から、これらの学生はレビューの質が評価されないため、経験のあるレビュアーよりも批判的であるという発見を指摘しました。

異議
2021年に、ミネソタ大学の研究者が「オープンソースソフトウェアにハイポクリートコミットを通じて静かに脆弱性を導入する可能性について」というタイトルの論文を42回目の会議に提出しました。彼らは、Linuxカーネルパッチのレビュープロセスの脆弱性を強調することを目指していました。論文は2021年に受理され、発表が予定されていましたが、Linuxカーネルコミュニティからの批判を受け、論文の著者は論文を撤回し、公的な謝罪を出しました。Linuxカーネルは、サーバーやSteam Deck、Android、ChromeOSなどの消費者向けデバイスで人気のあるLinuxオペレーティングシステムの核心を形成する広く使用されているオープンソースのオペレーティングシステムのコンポーネントです。彼らの方法は、Linuxカーネルの既存の単純なバグに対するパッチを書き込み、意図的にセキュリティバグをソフトウェアに導入することでした。研究者は、別名を使って4つのパッチを提出し、そのうち3つはコードレビュアーによってバグのあるコードとして正しく認識され拒否されました。しかし、その後の調査で、研究者がコードの動作方法を誤解していて、実際には有効な修正を提出していたことが判明しました。このバグの含め方の試みは、研究所の監査委員会（IRB）の承認なく行われました。会議のレビューを通しても、この倫理的責任の侵害は検出されませんでした。この事件は、Linuxコミュニティおよび広範なサイバーセキュリティコミュニティからの批判を引き起こし、Greg Kroah-Hartman、カーネルの主要なメンテナンスの一員は、研究者と大学をLinuxプロジェクトへのさらなる貢献から排除し、最終的には著者と大学がLinuxカーネル開発者のコミュニティに謝罪を出すことになりました。この事件に対して、IEEE S&Pは論文のレビュープロセスに倫理的なレビューのステップを追加し、研究論文の倫理的宣言に関する文書を改善することを約束しました。

参考文献