IEEE セキュリティとプライバシーシンポジウム

IEEEセキュリティとプライバシーに関するシンポジウム（IEEE S&P、IEEE SSP）は、オークランド会議としても知られ、コンピュータセキュリティとプライバシーに関するトピックに焦点を当てた年次会議です。この会議は1980年にスタン・エイムズとジョージ・ダビダによって設立され、この分野でトップクラスの会議の一つとされています。^{[ 1 ] [ 2 ]}この会議は単一トラックで構成され、すべてのプレゼンテーションとセッションが1つの会場で順番に開催されます。また、この会議では二重盲検レビュープロセスが採用されており、著者と査読者の身元は互いに隠蔽され、ピアレビュープロセスにおける公平性と公正性が確保されています。

この会議は、研究者がコンピュータセキュリティとプライバシーに関する意見交換を行う小規模なワークショップとして始まり、当初は理論研究に重点が置かれていました。当初は暗号研究者とシステムセキュリティ研究者の間に溝があり、暗号研究者はシステムセキュリティに焦点を当てたセッションからしばしば離脱していました。この問題は最終的に、暗号とシステムセキュリティの議論を同じセッションで統合することで解決されました。2011年には、会場規模の都合により、 会議はサンフランシスコに移転しました。

この会議はトラックが1つしかないため、採択率が低い。会議の査読プロセスでは、新規性を重視しつつ、様々な基準で論文を評価する傾向がある。2022年、研究者らはIEEE S&Pなどの主要なセキュリティ会議の査読者にインタビューを行い、査読者間で査読基準が一貫していないため、会議の査読プロセスが悪用される可能性があることを明らかにした。査読者は、この問題を軽減するために、新しい査読者に査読の質に重点を置いた指導を行うことを推奨した。

2021年、ミネソタ大学の研究者らが、広く使用されているオペレーティングシステムのコンポーネントであるLinuxカーネルに、機関審査委員会（IRB）の承認を得ずにバグを導入しようとする論文をIEEEに提出しました。論文は受理され、出版予定でしたが、Linuxカーネルコミュニティからの批判を受け、論文の著者らは論文を撤回し、公式に謝罪しました。この事件を受けて、IEEE S&Pは論文審査プロセスに倫理審査のステップを追加し、研究論文における倫理宣言に関する文書を改善することを約束しました。

この会議は、1980年に研究者のスタン・エイムズとジョージ・ダビダによって、コンピュータセキュリティとプライバシーについて議論する小規模なワークショップとして構想されました。このワークショップは徐々に、この分野のより大規模な集まりへと発展しました。最初はクレアモントリゾートで開催されたこのイベントの最初の数回の反復では、暗号学者とシステムセキュリティ研究者の間に分裂が見られました。これらの初期の反復での議論は主に理論的な研究に集中しており、実用的な実装の考慮が軽視されていました。^{[ 3 ]}この分裂は続き、暗号学者がシステムセキュリティのトピックに焦点を当てたセッションを離れることが多かったほどでした。^{[ 4 ]}これに対応して、会議のその後の反復では、同じセッション内で暗号とシステムセキュリティの両方の議論を網羅するパネルが統合されました。時間の経過とともに会議の参加者が増加し、会場の収容人数の制限により、2011年にサンフランシスコに場所が変わりました。^{[ 3 ]}

IEEE セキュリティとプライバシーに関するシンポジウムでは、コンピュータセキュリティとプライバシーに関連する幅広いトピックの論文が検討されます。毎年、関心のあるトピックのリストが会議のプログラムチェアによって公開されますが、これは分野のトレンドに基づいて変更されます。過去の会議では、IEEE セキュリティとプライバシーに関するシンポジウムは、ウェブセキュリティ、オンライン虐待、ブロックチェーンセキュリティ、ハードウェアセキュリティ、マルウェア分析、人工知能などのトピックの論文を検討しました。^{[ 5 ]}会議の議事録はシングルトラックモデルに従っており、一度に1つのセッションのみが開催されます。このアプローチは、異なるトピックの複数のセッションが同時に実行される他のセキュリティとプライバシーの会議で一般的に使用されているマルチトラック形式とは異なります。^{[ 3 ]}会議に提出された論文は、公平性を確保するために二重盲検法を使用してレビューされました。^{[ 6 ]}しかし、このモデルでは会議が受け入れ可能な論文数が制限されるため、採択率が15～20％の範囲にある会議とは異なり、1桁台になることが多い。^{[ 3 ]} 2023年、IEEEセキュリティとプライバシーシンポジウムは、会議に提出された論文を審査し、提出された論文に倫理違反の可能性がある事例を報告する研究倫理委員会を導入した。^{[ 7 ]}

2022年にAnanta Sonejiらが行った研究では、IEEEセキュリティ・プライバシーシンポジウムを含む主要なセキュリティカンファレンスの査読プロセスが悪用される可能性があることが示されました。研究者らは、21人の査読者に対し、査読プロセスにおける論文評価基準についてインタビューを行いました。そのうち19人が、論文が研究課題を前進させるか、あるいは最先端技術であるかどうかといった新規性を主要な基準として挙げました。また、9人の査読者は実装における技術的な健全性の重要性を強調し、7人は、特定されたすべての領域が徹底的に調査されたことを保証するための、自己完結的で包括的な評価の必要性を指摘しました。さらに、6人の査読者は、評価において明確で効果的な文章の重要性を強調しました。これらのインタビューに基づき、研究者らは、論文評価における客観的な基準の欠如と、カンファレンスの査読者による査読におけるある程度の無作為性が、カンファレンスで使用されている査読プロセスの主要な弱点であると指摘しました。この改善策として、研究者らは、他の生産性指標ではなく、査読の質の向上に重点を置いた新しい査読者の指導を推奨しました。彼らは、IEEE S&Pが博士課程の学生やポスドク研究者にプログラム委員会の査読者を観察することを認めたが、2017年の報告書の調査結果では、これらの学生は査読の質で評価されないため、経験豊富な査読者に比べて評価が批判的になる傾向があると指摘されている。^{[ 2 ]}

2021年、ミネソタ大学の研究者らは「偽善的なコミットによってオープンソースソフトウェアに脆弱性をこっそりと導入する可能性について」^{[ 8 ]}と題する論文を第42回会議に提出した。^{[ 9 ] [ 10 ]}彼らはLinuxカーネルパッチのレビュープロセスにおける脆弱性を明らかにすることを目的としており、この論文は2021年に発表されることとなった。^{[ 10 ]} Linuxカーネルは広く使用されているオープンソースのオペレーティングシステムコンポーネントであり、 Linuxオペレーティングシステムの中核を成している。^{[ 8 ]} Linuxオペレーティングシステムは、サーバーやSteam Deck、^{[ 11 ]} Android、ChromeOSなどの消費者向けデバイスで人気がある。^{[ 12 ]}彼らの手法では、 Linuxカーネル の既存の些細なバグに対するパッチを作成し、意図的にソフトウェアにセキュリティバグを導入した。^{[ 13 ]}研究者らは仮名で4つのパッチを提出したが、そのうち3つはバグのあるコードを正しく特定したそれぞれのコードレビュー担当者によって拒否された。^{[ 14 ]} 4つ目のパッチは統合されたが、その後の調査で研究者らがコードの動作を誤解しており、有効な修正を提出していたことが判明した。^{[ 15 ]}このバグを組み込む試みは、機関審査委員会（IRB）の承認なしに行われた。^{[ 16 ] [ 15 ]}会議による審査を受けたにもかかわらず、この倫理的責任違反は論文の審査過程では検出されなかった。^{[ 10 ]}この事件はLinuxコミュニティやサイバーセキュリティコミュニティ全体から批判を巻き起こした。^{[ 16 ] [ 17 ] [ 18 ]} カーネルの主要メンテナーの一人であるグレッグ・クロア・ハートマンは、研究者と大学の両方に対してLinuxプロジェクトへのさらなる貢献を禁止し、最終的に著者と大学は論文を撤回し^{[ 8 ]} Linuxカーネル開発者のコ​​ミュニティに謝罪した。^{[ 9 ][ 18 ]}この事件を受けて、IEEE S&Pは論文審査プロセスに倫理審査のステップを追加し、研究論文の倫理宣言に関する文書を改善することを約束した。 ^{[ 10 ]}