2018/7/25 第 82 回 CSEC 研究会インターネット依存社会における情報送信者情報送信機器の匿名性と特定追跡性 2018 年 7 月 25 日中央大学研究開発機構才所敏明辻井重男 Advanced IT Corporation 1 本発表の構成 1. はじめに 2. 人が情報を

第 82 回 CSEC 研究会インターネット依存社会における情報送信者情報送信機器の匿名性と特定追跡性 2018 年 7 月 25 日中央大学研究開発機構才所敏明辻井重男 1 本発表の構成 1. はじめに 2. 人が情報を送信する場合の匿名性と特定追跡性 3. 機器 (IoT 機器 ) が情報を送信する場合の匿名性と特定追跡性 4. 連結可能匿名化による匿名性と特定追跡性の両立方式 5. s- 匿名性 ( 層匿名性 ) についての考察 6. 終りに 2 1

1. はじめにインターネットの歴史は 35 年余り 1984 年 JUNET 1992 年商用サービスインターネット利用者が他の利用者を攻撃が他の利用者を攻撃することは想定外通信内容の真正性の確保や通信相手の厳密な確認など内容の真正性の確保や通信相手の厳密な確認などのセキュリティ機能は具備されて機能は具備されていない利用者は匿名性に支えられたある種の文化をに支えられたある種の文化を享受匿名性の制限にはの制限には抵抗社会がますますインターネットへ依存インターネット経由の様々の攻撃もそれに応じ経由の様々の攻撃もそれに応じ増大社会の被害も甚大化することがの被害も甚大化することが想定インターネット経由の攻撃をより確実に排除経由の攻撃をより確実に排除できるセキュリティ機能の導入は避けることは機能の導入は避けることはできない 3 2. 人が情報を送信する場合の匿名性と特定追跡性 1 日平均 :12 通のメール送信 39 通のメール受信電子メールがネット経由の通信手段の主役ビジネスメール実態調査 2017 (2017 年 6 月 2 日に一般社団法人日本ビジネスメール協会発表 ) 4 2

電子メールがネット経由の通信手段の主役だからこそ標的型攻撃の初期潜入にはほとんど電子メールが利用されている情報セキュリティ 10 大脅威 2018(IPA 発表 ) 5 標的型メール攻撃対策技術的対策標的型メールかどうかをメールシステムにて確認し直接排除またはメール受信者受信者への注意喚起等への注意喚起等により標的型攻撃メールの被害回避を目指した対策人的対策教育訓練によりメール受信者 ( 社員職員 ) の標的型攻撃メールを見極める能力を高め標的型メールかどうかを受信者本人に確認させ標的型攻撃メールの被害回避を目指した対策 6 3

現在の技術的対策 (1) SPF(Sender Policy Framework) (9 割近くが導入済み : 総務省とりまとめ ) http://salt iajapan org/wpmu/anti_spam/admin/tech/explanation/spf/#30 7 現在の技術的対策 (2) DKIM(Domainkeys Identified Mail ) (45% 近くが導入済み : 総務省とりまとめ ) http://www atmarkit co jp/ait/articles/0602/16/news114 html 8 4

現在の技術的対策の課題 (2) SPF/DKIM の認証範囲メールアドレスメールサーバメールサーバメールアドレスマイナンバーマイナンバーなりすましメールを防ぐにはメール送信者の認証が必要! 9 人的対策の課題膨大な見えないコスト [ 費用試算の前提 ]139 通のメール受信 (1 ( 日平均 ) 2 標的型攻撃メールかどうかの判断攻撃メールかどうかの判断ため 15 分程度 /1 日必要 [ 公務員のみを対象とした費用試算 ] 国家公務員 60 万人 ( 一般職 34 万人 ) 給与 41 万円地方公務員 280 万人 ( 一般職 90 万人 ) 給与 38 万円 1 か月あたりの見えない人的対策費用約 150 億 / 月 ( 年間 1800 億!) 34 万人 *41 万円 *(15 分 /8 時間 ) 国家公務員 +90 万人 *38 万円 *(15 分 /8 時間 ) 地方公務員 [ 日本社会としての負担は莫大 ] 民間社員 (300( 人以上の事業所 ) 約 1800 万人しかも効果は限定的標的型攻撃メール対策の教育訓練においても 10% 程度は開封! 人的負担軽減のためより効果的な技術的対策の開発導入に注力すべき! 10 5

安全な電子メール利用基盤 SSMAX (Secure and Safe email exchange framework) (1) 送信者の特定追跡が可能な電子メール利用基盤悪意のある電子メールの流通氾濫を抑止可能! (2) 送信情報の保護が可能な電子メール利用基盤個人情報秘密情報の送信にも利用可能! 11 メール送信者の特定追跡のために安心安全電子メール利用基盤 SSMAX の認証範囲 S/MIME の認証範囲 SPF/DKIM の認証範囲メールアドレスメールサーバメールサーバメールアドレスマイナンバーマイナンバー 12 6

メール送信者の特定追跡のために安心安全電子メール利用基盤 SSMAX の認証範囲組織個人間認証 ( 本人確認 ) 組織間認証組織個人間認証 ( 本人確認 ) メール利用者メール送受信組織メール送受信組織メール利用者一定レベルの匿名性の保証 13 メールの署名検証メールアドレス問題があったメールの送信組織へ通報送信者 ( 特定追跡性 ) 送信内容内容の確認送信するメールへの署名受信組織 /MSP による送信組織 /MSP の認証受診メールの署名署名検証送信組織 ( 特定追跡性 ) 受信内容の確認送信するメールへの署名問題があったメールのがあったメールの送信者送信者へ是正措置を要求送信組織 /MSP によるメール送信者送信者の認証メールへの署名送信組織 /MSP メールサーバ署名付替メール送信者送信者の署名送信組織 /ISP の署名受信組織 /MSP メールサーバ署名付替メールクライアント ( 送信者 ) メールクライアント ( 受信者 ) 署名署名付与検証受診メールの署名署名検証受信組織受信内容の確認メール送信者受信者間では一定の匿名性を維持可能 14 受信組織 /MSP の署名メール受信者受信者によるによる受信組織 /MSP の認証受診メールにメールに問題問題があったがあった場合場合受信組織へ通報 7

3. IoT 機器が情報を送信する場合の匿名性と特定追跡性 *2016 年 64 億台 2017 年 84 億台 2020 年 204 億台程度の IoT 接続台数 ( ガートナー報告 ) *2016 年 9 月史上最大級の IoT 利用 DDOS 事件 (KrebsOnSecurity 攻撃 ) *IoT 向けマルウェア Mirai : 脆弱な IoT 機器を奴隷化し奴隷化した IoT 機器には脆弱な IoT 機器の探索作業を行わせ急速にボットネットを巨大化 ( Mirai のソースもインターネット上に公開亜種も出現 ) 15 IoT 機器の特定追跡性と匿名性の必要性ビッグデータ活用サービスのデータ依存性 IoT 機器システムへのサイバー攻撃による悪意に満ちたデータのビッグデータへの混入 => データ収集 IoT システム事業者の責任特定追跡性の必要性被害拡大防止早期正常化のための問題のあるデータ送信 IoT 機器への早期対応匿名性の必要性サイバー攻撃等のリスク低減のための物理的論理的アドレスの秘匿 16 8

安心安全な IoT システムフレームワーク SSIoT(Secure and Safe Internet of Thing) (1) 検討対象機能 *IoT 機器の保護 ( 被害者にならないために ) *IoT 機器が送信するデータの保護 *IoT 機器の保護 ( 加害者にならないために ) *IoT 機器の適切な状態を維持するために * 被害加害を早期に収拾させるために (2) 検討対象 IoT システムモデル * データ収集 IoT システム ( 当面 ) 17 SSIoT が想定する IoT システムモデル / ビジネスモデル IoT 機器 ( センサー ) データ収集 IoT システムデータ利活用システムゲートウェイアグリゲータフィジカルワールド IoT システムデータ利活用事業者事業者サイバーワールド ( インターネット ) 18 9

データ収集 IoT システムの匿名性実現の仕組みデータ収集 IoT システム IoT 機器 ( センサー ) アグリゲータ識別符号対応 DB ゲートウェイ内部識別符号外部識別符号 IoT 機器管理 DB 内部識別符号特性情報特性情報物理的位置位置情報情報論理的論理的位置位置情報 IoT システム事業者データ利活用システムデータ利活用事業者 19 データ収集 IoT システムの特定追跡性実現の仕組みデータ収集 IoT システム IoT 機器 ( センサー ) IoT 機器管理 DB 内部識別符号特性情報特性情報物理的位置位置情報情報論理的論理的位置位置情報識別符号対応 DB 内部識別符号外部識別符号アグリゲータゲートウェイ IoT システム事業者データ利活用システムデータ利活用事業者 20 10

4. 連結可能匿名化による匿名性と特定追跡性の両立方式現在のインターネットは匿名性が強い状況 ( 犯罪者攻撃者にやさしいインターネット!) 社会 ( システム ) のインターネット依存が高まる中インターネット経由の悪意のある情報データの流通の防止早期発見早期対応がますます重要に! 悪意のある情報データの発信源の容易な特定追跡が必要一方インターネット利用者インターネット接続機器の機微情報保護のための一定レベルの匿名性も必要特定追跡性の確保と一定レベルの匿名性の確保の両立が必要! 両立実現には連結可能匿名化が重要! 連結可能匿名化の実現にはインターネット利用環境を提供する組織における連結情報の作成管理が必要 21 SSMAX における連結可能匿名化マイナンバー社内管理情報層 A 情報層 B マイナンバーに職員番号付随する情報に付随する情報マイナンバー匿名性職員番号匿名性特定追跡性特定追跡性連結情報連結情報マイナ職員職員メールンバー番号番号アドレスメールアドレス情報層 C メールアドレスに付随する情報メールアドレス 22 11

SSIoT における連結可能匿名化 SSIoT システム情報層 A データ配信情報層 B 内部識別符号に関する情報内部識別符号匿名性特定追跡性連結情報内部識別符号外部識別符号外部識別符号に関する情報外部識別符号 23 5. s- 匿名性 ( 層匿名性 ) についての考察情報層 A 情報層 B C A α の情報匿名性 C B α の情報 C A α 特定追跡性連結情報 C B α C A α C B α s- 匿名性 ( 層匿名性 ): 連結可能匿名化で分離された情報層間の匿名性 s- 匿名性の強度 : 攻撃者が匿名性を破るために必要な作業量に比例 24 12

情報層 B の情報層 A に対する s- 匿名性の安全性 ( 匿名性の強度 ) 2 層基本モデル S B,A α=min(x B,A α Y B,A α) X B,A α: 情報層 Bの識別符号 C B αおよび当該識別符号に関連付けられた情報から情報層 Aの識別符号 C A αを特定するための作業量 Y B,A α: 情報層 Bの識別符号 C B αと情報層 Aの識別符号 C A αとの対応を示す連結情報を入手するための作業量 25 情報層 C の情報層 A に対する s- 匿名性の安全性 ( 匿名性の強度 ) 3 層基本モデル情報層 A 情報層 B 情報層 C C A α の情報 C B α の情報 C C α の情報 C A α 匿名性 C B α 匿名性 C C α 特定追跡性連結情報 C A α C B α 特定追跡性連結情報 C B α C C α S C,A α=min(s C,B α+s B,A α,x C,A α) 26 13

情報層が n 層連接するモデルの s- 匿名性の安全性 ( 匿名性の強度 ) S j,i α: 情報層 1 2 n から構成されるモデルモデルにおけるおけるエンティティ αに関連付けられた情報層 jにおける識別符号 C j α および当該識別符号に関連付けられた情報識別符号に関連付けられた情報から情報層 iにおける識別符号 C i αに対する s- 匿名性の強度 ( 但し 1 i<j n) S j,i α=min(r j,i,k α) k=0,,n-2 R j,i,k α:k 個の異なる層を経由した場合のの情報層 j における識別符号 C j α および当該識別符号に関連付けられた情報識別符号に関連付けられた情報からから情報層 iにおける識別おける識別符号 C i α に対する s- 匿名性の強度の最小値 27 識別符号および当該識別符号に関連付けられた情報を利用した特定が極めて困難という条件下では S j,i α=min(t j,i,k α) k=0,,n-2 T j,i,k α: 情報層 j と情報 i の間に介在する k 個の情報層のそれぞれの連携情報を入手しの連携情報を入手し情報層 j の識別符号 C j α と情報層 i の識別符号 C i αとの対応を特定できるためのできるための作業量最もシンプルなケース情報層が直列に連接されている場合で連接する 2 層の連結情報のみが存在する場合は S j,i α=t j,i,1 i+1 α=σ l=j (Y l,1-1 α) 情報層 j から下位層へ順次連結情報を入手し情報層 i における識別符号 C i α を特定する方法が最小値 s- 匿名性の強度評価の定式化定式化の試み評価式は連結可能匿名化を利用したシステムには連結可能匿名化を利用したシステムにおける s- 匿名性の強度の根拠把握に利用可能 28 14

6. おわりに (1) 人がインターネットへ情報を送信する場合および機器がインターネットへ ( 検知した ) 情報を送信する場合 (IoT) のそれぞれについて匿名性と特定追跡性の両立の重要性を示した (2) 電子メールを対象とした安心安全電子メール利用基盤 (SSMAX) におけるメール送信者の特定追跡性と匿名性の両立方式を具体的に示した SSMAX は構想策定済みで今後システム開発実証実験等の機会をとらえ早期の社会実装を目指したい ( 詳細は情報処理学会論文誌 2018 年 9 月を参照 ) 29 (3) 機器がインターネットへ ( 検知した ) 情報を送信する場合 (IoT) の例として現在考案中の安心安全 IoT システム (SSIoT) における情報送信機器システムの特定追跡性と匿名性の両立方式を示した SSIoT については構想策定のための調査段階である (4)SSMAX SSIoT の両方で匿名性と特定追跡性の両立のために採用した連結可能匿名化について考察連結可能匿名化による匿名性を s- 匿名性と称することにし S- 匿名性の安全性 ( 匿名性の強度 ) の評価の視点を提案した 30 15

本発表は総務省戦略的情報通信研究開発推進事業 (SCOPE) にてセキュア IoT プラットフォーム協議会及び中央大学のチームが採択を受けた IoT デバイス認証基盤の構築と新 AI 手法による表情認識の医療介護への応用についての研究開発の活動の一環として行ったものである 31 終 32 16