Embed Size (px)
Citation preview
プライバシー強化に向け処理プロセスを適切に選定、配置する信頼基盤
Privacy-EnhancingTrustInfrastructureforProcessMining
SvenWohlgemuth1)、宝木 和夫2)
2017年1月26日SCIS
1) 独VaihingenanderEnz2) 産業技術総合研究所
レジリエンス:システムの適応能力:システム許容範囲を維持
しつつ、相互の依存関係を考慮しながら平衡の状態に導く
出典:IEEESecurity&Privacy,May/June,2012
背 景
2
RPO
最大許容ダウンタイム(MTD)
Source: CISSP, All-in-One Exam Guide Sixth Edition, Shon Harris
運用継続 運用継続
破局から復帰に至る測定基準
RPO(RecoveryPointObjective):復旧時点目標
RTO(RecoveryTimeObjective):復旧時間目標
WRT(WorkRecoveryTime):作業復旧時間
MTD
WRT
通常運用復旧時間フレーム
RTO
3
4
・ 2011年3月11日、東日本大震災
時、ライフラインのうち道路、電力、水道は寸断。通信網の多くは生き残った。しかし、
・ 移動、移送やロジスティック、応急措置や回復などに必要な情報が利用不可など。
例1 自動車や人の位置情報が取れない→避難指示等に有効活用できず例2 医療情報や生体認証情報が取れない→避難所でのケアに支障
・ 活用できれば有効なはずの情報が、プライバシー保護やセキュリティ(アクセス管理)の壁に阻まれ、活用できない→ 被害が拡大、復興遅延
understand
realize
d, d*
......
d
Datenanbieter/-konsument
Daten-konsument
Datenkonsument/-anbieter
Daten-anbieter
understand
realizeEconomy
eGovernment
eHealthcare
Energy
Mobility
and more...
Social Networks
eEducation
5
未解決問題
従来、個人情報の二次利用を許した途端、自己の情報をコントロールできなくなる、という恐れが生じた
フィジカル:社会的現実 サイバー: モデル
レジリエンス
制御
可用化
理解
決定
信頼できる情報基盤
実現
理解
実現
実行
6
完結性(Completeness) :
正当(合理的)な情報アクセスが誤って拒否されること(誤認逮捕FalsePositive)を防ぐ
健全性(Soundness) :
不当(不合理)な情報アクセスが誤って許可されること(検挙ミスFalseNegative)を防ぐ
目指す特性
平常時フロー
緊急時フロー
個人許可者
最終利用者
必要な情報をタイムリーに欲しい(完結性)、しかも安全に(健全性)
目的:変動する環境下で個人情報は、変動するポリシー(含、許可範囲)にしたがって、送受信されることを保証する。効率や満足感も含めたセキュリティーのユーザビリティを確保する。
1
2 33
44556677
99 88
1010 11111212
13131414 1515 1616
1717 1818
1919
2020
21212222
2323
24242525
2626
2727
2828
2929
3030
313132323333
3434
3535
3636
373738383939
4040
4141
42424343
44444545
4646
4747
User A
User B
7
・ 個人情報の利用を適切に変更管理し得るオーソリティの存在
→ データコントローラ
・ 各ノードにおいて情報フローがポリシーにしたがって、正しく実行されるメカニズム
→ マルチラテラルセキュリティ
データコントローラ(例 政府、あるいは、その委託者)
• その人自身のデータに修正を加える• データの利用に関する合意を承認、ある
いは、否認する
• データの毀損について報告を受ける
マルチラテラルセキュリティ(例 多国籍軍における共同作戦)
• 全体の共通目的について合意• 全体で共有し得る最小のトラストを前提
に目的達成可能な行動計画を作成する
• その行動計画を実行する
提案:二次利用に有用な機能
8
データコントローラに有用な特性
レジリエンス対応処理プロセスを有する
• IoTセンサーやAI等で適確に情勢を判断できる• 自身の処理に透明性を持たせる
• 証明可能安全性など
9
マルチラテラルセキュリティに有用な特性
すべての参加者(コンピュータシステム)のトラストを高いものにする
・ 意図に関する信頼性 → 法令遵守性、利害関係、人間関係、信条、倫理観など
・ 能力に関する信頼性 → 証明可能安全性など
10
規約的
自然言語ベースでのポリシー
上位レベルポリ
シー言語
中レベルセキュリティポリシー
情報フローグラフ
低レベル実行
実践的
Take-grant,type-safety,束ベースアクセス管理,
セキュアロギング
アイデンティティ,暗号,公開ディレクトリ,モニター 、
proof-carryingcode
分散トラスト管理
米HIPAA,日米SOX,独KonTraG,欧95/46/EC,
日本個人情報保護法,…
Enforcementclasses,Ponder,ExPDT
計算量的安全性,PKI,仮想化, テスト
ISO/IEC270xx,BSIIT-BaselineProtection,IETFAAA,NISTSCAP
Social/knowledgegraph,stickypolicies
セキュアな権限移譲
ZKP-carryinginformation
証明可能安全指向の処理プロセス候補リスト
HIPAA:HealthInsurancePortabilityandAccountabilityActSOX:Sarbanes–OxleyActSCAP:SecurityContentAutomationProtocolExPDT:ExtendedPrivacyDefinitionToolZKP:Zero-KnowledgeProof
チャレンジ: 個人情報の二次利用の許容可能な分離
o1 =d o2 =d* …s1 own, r,w ?own,r,w?s2 r,w own,r,ws3 ?r,w? r…
一般的なセキュリティ シス
テム
安全性は、一般に決定不能 ⇒ 束ベースアクセスコントロール等(説明責任付)
弾力性の問題が残る ⇒ 想定外でも個人データの制御可能化
施行
匿名化されたデータの集計 ⇒ 情報漏洩の脅威
上位レベルポリシーでの課題
di,di+1di
��/��
��
��/��
��
��� �����
����
���
?
11
12
• 厳密な順序
NaturalLanguagePolicy
High-LevelPolicy
Language
Intermediate-LevelSecurityPolicyFlowGraph
Low-LevelEnforcement
• 対称的なアクセスツリー
• ツリーが分離されていれば安全
• クラス分け変更により、データ可用化
束ベースのアクセス制御
Sandhu1993
Take-grant
LiptonandSnyder1977
S1:u
S2:u S3:v
O:oS3:w
• 有向無閉路グラフ
• クラス分け変更により、データ可用化
タイプセーフティ
Sandhu1992
S1:u
S2:u S3:v
O:oS3:w
対応:高セキュアコンピューティングの拡張
上位レベルポリシー言語の例
検証者 証明者
認定:「x」 は言語 「L」 のメンバー (グラフの同型判定)例えば:セキュリティ ポリシー「no-read-up」が情報フロー「x」によって実施させる
スケーラブルなコンピューティング
1. 「x」 はパターンに同形を反復 ?
パターン2. 同型の証明
3. 証明書を確認する
対話型証明による透明性
13
14
万里の長城モデルの拡張
さらに、個人情報二次利用を適切に行える仕組みを追加
営業部門 法人部門商品開発部門
全個別データ
営業データセット 法人データセット
個別データ
個人情報など(含、インサイダー情報)のアクセス制御が厳密に行われる
ノード内部のアクセス制御の厳格化、透明化
- データのタグ
– データの送信履歴を確認するための情報
– 監査においては、データの来歴は情報フローを再現し確認するために用いることができる
例
診断
データ
依頼者名
仲介者名
診断
データ
依頼者名
仲介者名
診断
データ
依頼者名
仲介者名分析者名
診断
データ
依頼者名
仲介者名分析者名
タグ:送受信者来歴
仲介業者分析者医薬メーカ 医薬メーカ
送受信履歴の付与: データの来歴情報
15
"� "����
����
��"!��� "�����
�� ���� "����
�� �������
"���
"� "����
����
��"!��� "�����
�� ���� "����
�� �������
"���
電子透かしは、来歴情報をデータタグとして埋め込む手段
マルチラテラルセキュリティの実現に向け、次を実現する
-送信されるデータは、更新された来歴情報でタグ付けされる
-来歴情報は認証可能である
EHR/メディカルシステム
データ データ受信者(例 仲介者)
電子透かしサービス
2) データを読み込む
3) タグの付与
4) タグ付けデータの受信
送信の手順:
1) アクセスの要求
データ送信者
(例 ローカル病院)
データの来歴情報:電子透かしの例
16
NaturalLanguagePolicy
High-LevelPolicy
Language
Intermediate-LevelSecurityPolicyFlowGraph
Low-LevelEnforcement
17
健全性 (セーフティ)∧完結性 (ライブリネス)
di+1di
送信者/受信者
受信者
受信者/送信者
送信者
アクセス制御プロビジョン
プロビジョン+観測可能な義務ユーザビリティ
制御
義務付きのオープンデータ
二次利用に向けた構成
データコントローラ
許可情報
Privacywith Secondary Use of PersonalInformation 18
Inpractice:Inevitablevulnerabilitybydependencies
NaturalLanguagePolicy
High-LevelPolicy
Language
Intermediate-LevelSecurityPolicyFlowGraph
Low-LevelEnforcement
d,d*d
Prover/Verifier
Verifier
Verifier/Prover
Prover
Scheduler(OpenData)
• di タグ付き個人情報
• Ai 次の受信者の公開鍵 ǁ 認証・認可情報注)
• h ハッシュ関数、sign ディジタル署名関数
送信者i 送信者/受信者i+1Mi=h(di)‖AiBi=h(Bi-1‖Mi)Si=signi(Bi)
Mi+1=h(di+1)‖Ai+1Bi+1=h(Bi ‖Mi+1)Si+1=signi+1(Bi+1)
次へ続く
オープンデータ オープンデータ
ブロックチェーンによる送受信の証拠保持
注) 認証・認可情報 送信情報、来歴等を権限者
(本人、委託者など)のみが確認できる。匿名性と透明性の両立、ZKP等使用。
レジリエンス対応処理プロセス
-IoTセンサー、AI等で高精度にGround Truthを構成
-一部通信データは準匿名化処理、あるいは、観測不能化処理
19
データコントローラ(例 政府)
活用
プライバシー強化形の
• 透明性
• コンプライアンス獲得
• その人自身のデータに修正を加える
• データの利用に関する合意を承認、あるいは、否認する
• データの毀損について報告を受ける
提案処理の概要
オープンデータ活用型セキュリティ/プライバシー保護機構
トラスト 権限認証子 データ来歴記録 権限移譲秘匿 ベンチマーク遵守 利益共有
NaturalLanguagePolicy
High-LevelPolicy
Language
Intermediate-LevelSecurityPolicyFlowGraph
Low-LevelEnforcement
20
di+1di
送信者i/受信者i
受信者i+1
受信者i+2/送信者i+2
送信者i+1
二次利用に向けた構成
データコントローラ
許可情報
AAA(A)注)
サービス
スケジューラ
• PKIユーザの視点から、安全性に関する確率論的記載
• ユーザによる種々の証言によりエラー確率の低減
• レジリエンスに向け
• 完結性と完全性の両立
• 自己の情報をコントロールする権利、コンプライアンスの確立注) IETF標準RFC2904AAAAuthorization
Framework+情報送受の証拠Accountability
21
チャレンジ :持続可能社会の創生課 題 : 個人情報二次利用に
向けたトラスト構築対 策 : 安全証明可能性指向
のシステム設計指針
まとめ
オーペンデータ:情報公開責任(セキュリティ/プライバシー コントロールの一部として)
オープンデータsec(di, di+1)
sec(di, di+1)
sec(di, di+1)
…
Plan-Do-Check-Act(リスクとライフサイクル管理)
セキュアな権限移譲
データの来歴情報ITリスク管理
ポリシー ツールボックス
Active strategies Passive strategies
Riskavoidance
Riskreduction
Risk provision
Risk transfer
ITリスク分析
プライバシー・バイ・
デザイン
&+"& ���� %.#���� ����� (-$).�� ����
di+1di
���i/���i+1
���i+1
���i+2/���i+2
���i+1
%.#�-&,.+
���
AAA(A)�/ .'"
"�!*.+
自分のセキュリティ 集団のセキュリティ
22
ご清聴ありがとうございました
