Recommended
Recommended
More Related Content
Viewers also liked
Viewers also liked (7)
More from Sven Wohlgemuth
More from Sven Wohlgemuth (20)
Privacy-Enhancing Trust Infrastructure for Process Mining
- 3. RPO 最大許容ダウンタイム(MTD) Source: CISSP, All-in-One Exam Guide Sixth Edition, Shon Harris 運用継続 運用継続 破局から復帰に至る測定基準 RPO(Recovery Point Objective):復旧時点目標 RTO(Recovery Time Objective):復旧時間目標 WRT(Work Recovery Time):作業復旧時間 MTD WRT 通常運用復旧時間フレーム RTO 3
- 4. 4 ・ 2011年3月11日、東日本大震災 時、ライフラインのうち道路、電力、 水道は寸断。通信網の多くは生き 残った。 しかし、 ・ 移動、移送やロジスティック、応 急措置や回復などに必要な情報 が利用不可など。 例1 自動車や人の位置情報が取れない→避難指示等に有効活用できず 例2 医療情報や生体認証情報が取れない→避難所でのケアに支障 ・ 活用できれば有効なはずの情報が、プライバシー保護やセ キュリティ(アクセス管理)の壁に阻まれ、活用できない → 被害が拡大、復興遅延
- 5. understand realize d, d* ...... d Datenanbieter /-konsument Daten- konsument Datenkonsument /-anbieter Daten- anbieter understand realizeEconomy eGovernment eHealthcare Energy Mobility and more... Social Networks eEducation 5 未解決問題 従来、個人情報の二次利用を許した途端、自己の情報を コントロールできなくなる、という恐れが生じた フィジカル:社会的現実 サイバー: モデル レジリ エンス 制御 可用化 理解 決定 信頼できる 情報基盤 実現 理解 実現 実行
- 6. 6 完結性(Completeness) : 正当(合理的)な情報アク セスが誤って拒否されるこ と(誤認逮捕False Positive)を防ぐ 健全性(Soundness) : 不当(不合理)な情報アク セスが誤って許可される こと(検挙ミスFalse Negative)を防ぐ 目指す特性 平常時フロー 緊急時フロー 個人許可者 最終利用者 必要な情報をタイ ムリーに欲しい (完結性)、しかも 安全に(健全性) 目的:変動する環境下で個人情報は、変動するポリシー(含、許 可範囲)にしたがって、送受信されることを保証する。効率や満 足感も含めたセキュリティーのユーザビリティを確保する。 1 2 33 4455 6677 99 88 1010 1111 1212 1313 1414 1515 1616 1717 1818 1919 2020 2121 2222 2323 2424 2525 2626 2727 2828 2929 3030 31313232 3333 3434 3535 3636 3737 38383939 4040 4141 4242 4343 4444 4545 4646 4747 User A User B
- 7. 7 ・ 個人情報の利用を 適切に変更管理し得 るオーソリティの存 在 → データコントローラ ・ 各ノードにおいて情 報フローがポリシー にしたがって、正しく 実行されるメカニズ ム → マルチラテラル セキュリティ データコントローラ (例 政府、あるいは、その委託者) • その人自身のデータに修正を加える • データの利用に関する合意を承認、ある いは、否認する • データの毀損について報告を受ける マルチラテラルセキュリティ (例 多国籍軍における共同作戦) • 全体の共通目的について合意 • 全体で共有し得る最小のトラストを前提 に目的達成可能な行動計画を作成する • その行動計画を実行する 提案:二次利用に有用な機能
- 9. 9 マルチラテラルセキュリティに有用な特性 すべての参加者(コンピュータシステム)のトラ ストを高いものにする ・ 意図に関する信頼性 → 法令遵守性、利 害関係、人間関係、信条、倫理観など ・ 能力に関する信頼性 → 証明可能安全性 など
- 11. チャレンジ: 個人情報の二次利用の許容可能な分離 o1 = d o2 = d* … s1 own, r, w ? own, r, w ? s2 r, w own, r, w s3 ? r, w ? r … 一般的な セキュリ ティ シス テム 安全性は、一般に決定不能 ⇒ 束ベースアクセスコントロール等(説明責任付) 弾力性の問題が残る ⇒ 想定外でも個人データの制御可能化 施行 匿名化されたデータの集計 ⇒ 情報漏洩の脅威 上位レベルポリシーでの課題 di,di+1di / /? 11
- 12. 12 • 厳密な順序 Natural Language Policy High-Level Policy Language Intermediate-Level Security Policy Flow Graph Low-Level Enforcement • 対称的なアクセスツリー • ツリーが分離されていれ ば安全 • クラス分け変更に より、データ可用化 束ベースのアクセス制御 Sandhu 1993 Take-grant Lipton and Snyder 1977 S1: u S2: u S3: v O: oS3: w • 有向無閉路グラフ • クラス分け変更に より、データ可用化 タイプセーフティ Sandhu 1992 S1: u S2: u S3: v O: oS3: w 対応:高セキュアコンピューティングの拡張 上位レベルポリシー言語の例
- 13. 検証者 証明者 認定: 「x」 は言語 「L」 のメンバー (グラフの同型判定) 例えば:セキュリティ ポリシー「no-read-up」が情報フロー「x」によって実施させる スケーラブルなコンピューティング 1. 「x」 はパターンに同形を反復 ? パターン 2. 同型の証明 3. 証明書を確認する 対話型証明による透明性 13
- 15. - データのタグ – データの送信履歴を確認するための情報 – 監査においては、データの来歴は情報フローを再現し確認す るために用いることができる 例 診断 データ 依頼者名 仲介者名 診断 データ 依頼者名 仲介者名 診断 データ 依頼者名 仲介者名 分析者名 診断 データ 依頼者名 仲介者名 分析者名 タグ:送受信者来歴 仲介業者分析者医薬メーカ 医薬メーカ 送受信履歴の付与: データの来歴情報 15
- 16. 電子透かしは、来歴情報をデータタグとして埋め込む手段 マルチラテラルセキュリティの実現に向け、次を実現する − 送信されるデータは、更新された来歴情報でタグ付けされる − 来歴情報は認証可能である EHR/メディカルシステム データ データ受信者 (例 仲介者) 電子透か しサービス 2) データを読み込む 3) タグの付与 4) タグ付けデータの受信 送信の手順: 1) アクセスの要求 データ送信者 (例 ローカル病院) データの来歴情報:電子透かしの例 16
- 17. Natural Language Policy High-Level Policy Language Intermediate-Level Security Policy Flow Graph Low-Level Enforcement 17 健全性 (セーフティ) ∧ 完結性 (ライブリネス) di+1di 送信者/ 受信者 受信者 受信者/ 送信者 送信者 アクセス制御 プロビジョン プロビジョン+ 観測可能な義務 ユーザビリティ 制御 義務付きの オープンデータ 二次利用に向けた構成 データコントローラ 許可情報
- 18. Privacy with Secondary Use of Personal Information 18 In practice: Inevitable vulnerability by dependencies Natural Language Policy High-Level Policy Language Intermediate-Level Security Policy Flow Graph Low-Level Enforcement d, d*d Prover/ Verifier Verifier Verifier/ Prover Prover Scheduler (Open Data) • di タグ付き個人情報 • Ai 次の受信者の公開鍵 ǁ 認証・認可情報注) • h ハッシュ関数、sign ディジタル署名関数 送信者i 送信者/受信者i+1 Mi=h(di)‖Ai Bi =h(Bi-1‖Mi) Si=signi(Bi) Mi+1=h(di+1)‖Ai+1 Bi+1=h(Bi ‖Mi+1) Si+1=signi+1(Bi+1) 次へ続く オープンデータ オープンデータ ブロックチェーンによる送受信の証拠保持 注) 認証・認可情報 送信情報、来歴等を権限者 (本人、委託者など)のみが確認できる。匿名性と透 明性の両立、ZKP等使用。
- 19. レジリエンス対応 処理プロセス −IoTセンサー、AI等 で高精度にGround Truthを構成 −一部通信データは 準匿名化処理、あ るいは、観測不能 化処理 19 データコントローラ (例 政府) 活用 プライバシー 強化形の • 透明性 • コンプライ アンス獲得 • その人自身の データに修正を加 える • データの利用に関 する合意を承認、 あるいは、否認す る • データの毀損につ いて報告を受ける 提案処理の概要 オープンデータ活用 型セキュリティ/プラ イバシー保護機構
- 20. トラスト 権限 認証子 データ来歴 記録 権限移譲 秘匿 ベンチマーク 遵守 利益共有 Natural Language Policy High-Level Policy Language Intermediate-Level Security Policy Flow Graph Low-Level Enforcement 20 di+1di 送信者i/ 受信者i 受信者i+1 受信者i+2/ 送信者i+2 送信者i+1 二次利用に向けた構成 データコントローラ 許可情報 AAA(A)注) サービス スケジューラ • PKIユーザの視点から、安全性に関する確率論的記載 • ユーザによる種々の証言によりエラー確率の低減 • レジリエンスに向け • 完結性と完全性の両立 • 自己の情報をコントロールする 権利、コンプライアンスの確立注) IETF標準RFC 2904 AAA Authorization Framework+ 情報送受の証拠Accountability
- 21. 21 チャレンジ : 持続可能社会の創生 課 題 : 個人情報二次利用に 向けたトラスト構築 対 策 : 安全証明可能性指向 のシステム設計指針 まとめ オーペンデータ:情報公開責任(セキュリティ/ プライバシー コントロールの一部として) オープンデータsec(di, di+1) sec(di, di+1) sec(di, di+1) … Plan-Do-Check-Act (リスクとライフサイクル管理) セキュアな権限移譲 データの来歴情報ITリスク管理 ポリシー ツール ボックス Active strategies Passive strategies Risk avoidance Risk reduction Risk provision Risk transfer ITリスク分析 プライバシー・ バイ・ デザイン di+1di i/ i+1 i+1 i+2/ i+2 i+1 AAA(A) 自分のセキュリティ 集団のセキュリティ