説明資料
有効な機密情報漏洩・改竄対策とは


1.不安な現状
 昨年10月10日に経済産業省が「情報セキュリティ総合戦略」を発表しましたが、そこでは「情報セキュリティに絶対はなく、事故はおこりうるもの」との前提に立ち、(1)事故・事件の回避(予防)、(2)被害の最小化・局限化、が最初に謳われています。情報セキュリティ事故の中でも個人情報流出問題についてはこうした現実的な把握は特に適切であると考えられます。

 最近になって頻繁に発生している大規模な個人情報流出の多くは外部からの攻撃ではなく関係者による持ち出しの可能性が高いと考えられています。そこで関係者による持ち出しの(1)回避・予防及び(2)被害最小化・局限化の方策を考えてみますと、アクセス権限を持つユーザの局限化と厳密なアクセス管理の実施及びアクセスログの収集が思い浮かびます。しかし、アクセス管理強化もログ収集も実はそれ自体として単独で成り立つものではなく、あくまで確実な本人認証の支えがあってこそ有効に機能するものです。財務情報への無制限アクセス権限を財務担当役員一人に局限して全てのログを収集していたとしても、その財務担当者のアイデンティティの盗用を簡単に許すような環境であれば、何時流出のニュースを聞くことになっても別に驚くべきことではありません。つまり、確実で信頼に足る本人認証技術を導入することなくして有効な個人情報流出対策はありえないのです。これは機密情報漏洩・改竄リスク全般にもいえることです。  

 それでは機密情報流出・改竄が企業の存立をすら脅かしかねないと承知している企業経営者或いはシステム管理者が、どのくらい「信頼に足る本人認証技術」導入の必要性を理解しているものでしょうか?また、信頼に足る本人認証技術導入の必要性を感じている企業でも、どのくらい真剣に本人認証技術の客観的で包括的な検討作業を行っているものでしょうか?日頃よく目にするハイテクイメージの強い製品の中から価格の安いものを選択する或いは逆に高いものを選ぶと言った安易な方法に流れていないでしょうか?

2.有効な本人認証とは
 本人認証技術には「記憶を照合するもの」、「所持物を照合するもの」、「生体の特徴点を照合するもの」があります。各分野で多くの技術・製品が発表されており、それぞれ特定の条件を満たす限定された環境ではそれなりの効用を発揮しています。しかし、在来の記憶照合では「覚えられるものは簡単に破られ、破られないものは覚えられず」、生体照合は原理的に根絶不能な本人拒否問題と複製による他人受容リスク問題との二重苦で足元が定まらず、所持物照合は盗用に無力なことに加えて「紛失・置き忘れvs付けっ放し」のジレンマから逃れられず、「いつでも、どこでも、老若男女を問わず誰でも、個人の尊厳を損なわず、ストレスをかけず、本人を排除することなく他人のみを有効に排除できるか否か」という包括的な判断基準を満たすものは長く存在しませんでした。(文末資料参照)

 こうした閉塞状況を打開するものとして、数十年にも及ぶ長い期間を経てもなお記憶に強固に留まり続け、いつでも即時の再認が可能な視覚記憶の対象(注)を認証データ(パスシンボル)とする照合手法に加えて、「本人であっても犯し得る間違い選択」と「本人であれば犯すはずのない間違い選択」を峻別するアルゴリズムを組み込んだ個人認証手法(ニーモニックガード)が当社によって開発されました。(注:甥や姪が幼かった頃の写真、子供の頃自分になついていたペットの写真或いは新婚旅行先で伴侶と共に見た感動的な風景の写真などは何十年後になっても一瞥すれば即座に認識ができます)

3.普及期に入った長期視覚活用本人認証技術
 この長期視覚活用個人認証技術は、「いつでも、どこでも、老若男女を問わず誰でも、個人の尊厳を損なわず、ストレスをかけず、本人を排除することなく他人のみを有効に排除するか否か」という包括的判断基準を満たし、しかも低コストである為いよいよ本格的な普及期に入ろうとしています。既に、PCやPDA起動時のへのログオン認証、PCや携帯電話からのインターネット・アクセス時のユーザ認証、PC上での各種アプリケーション起動時のログオン認証(月刊セキュリティ2月号にて紹介)、など各種の応用技術も提供されています。

 物理的警備においては(株)SKRテクノロジーが販売する重要施設入退室管理用マルチセキュリティシステムにおける本人確認用に組み込まれています。これは昨年12月18日のテレビ東京「ワールドビジネスサテライト」及び本年1月8日のNHK衛星第1放送「経済最前線」にて紹介され大きな反響を呼びました。

4.虚構の安全性神話を崩す啓蒙活動
 「XXによる認証が出来なかった時には暗証番号で認証します」という方式は、入り口が2つ並列に用意されているもの(どちらの入り口から入ってもよい)で暗証番号単独方式よりも低いセキュリティしか提供しないことは論理的に明白です。ところが、現実には「暗証番号に加えてXX認証も載っている」という言葉に幻惑されてセキュリティが上がっていると誤認している方々が大多数です。安全でないのに安全であると思い込んで安心している状況が放置されるのは悪夢です。当社はこうした虚構の安全神話を崩す啓蒙活動を推進しています。

5.成りすましサーバによる個人情報の無断収集を防ぐ
 SSLを使うと通信路は暗号化されるので傍受対策面での安全性は向上します。しかしSSLを使用する成りすましサーバによる個人情報の無断収集を避けようとすると、ユーザはアクセス毎に手元にある40桁の拇印と証明書の拇印の完全一致を目視確認しなければなりません。頻繁に行うのは大変だということもあって殆ど実行されていないのが現状です。当社では東京大学生産技術研究所今井研究室(今井秀樹教授はCRYPTREC(総務省・経済産業省共管「電子政府実現のための暗号技術検討会」座長・委員長)と共同でユーザに殆ど負担をかけることなく成りすましサーバを排除できる新たなウェブ通信防御技術の開発を進めています。プロトタイプ開発にあたっては通信・放送機構の助成を得ました。

6.個人情報の漏洩「抑止」から原理的な漏洩「防止」へ
 上述の個人情報流出抑止の鍵となる長期視覚活用本人認証技術の開発・普及活動に加えて、当社では個人情報の大量漏洩を原理的に防止する匿名ネットワーク・匿名データベース技術の開発とビジネスモデル構築を進めています。個人情報の所有者・発信者・受信者の身元特定を原理的に不可能にする匿名ネットワーク上に構築されるデータベースには実名のない個人の属性情報のみ保管します。実名と匿名属性データを結びつける手段と権限はユーザ個人だけが持つもので、個人情報の大量一括漏洩を原理的に防止しデータ流出被害の絶対的極小化を図る通信基盤技術です。東京大学生産技術研究所今井研究室指導、富士通プライムソフトテクノロジとの共同事業で、情報処理振興事業協会(現情報処理推進機構)からの受託開発事業です。

 当社は個人情報・機密情報保護を主眼とする情報セキュリティ・情報アシュアランス事業で社会に貢献します。

2003年2月16日
株式会社 ニーモニック セキュリティ
代表取締役 國米 仁

注1: 在来手法の弱点
文字パスワード・暗証番号・単純画像パスワード・パターン記憶法
簡単に覚えられるものは、第3者による収集・推測を防げず他人排除力に欠ける
  他人を排除できるものは覚えられず或いは混乱しやすく、本人も排除してしまう
  導入コストは低いが、質問対応・再発行コストが大きい

リマインダー・Q&A方式
質問中に答えが隠されており、反復試行には脆弱

生体照合・バイオメトリックス(顔貌・手紋・指紋・虹彩紋・網膜紋・声紋・署名・静脈紋・骨紋・脳波形、etc)
原理的に本人拒否を伴うため単独では「本人を排除することなく他人のみを有効に排除する」ことが不可能
  本人排除を避けるための救済策を組み込むと、他人排除力は救済策を上回ることはない

  物理的・映像音声的・電気的に複製可能と知られた時点で他人排除力が崩壊する
  複製対策は際限なきイタチゴッコの泥沼化の可能性
  物理的計測結果を意思確認を伴うべき認証結果と同一視する無理に伴うプライバシー問題・人格尊厳毀損問題あり。(個々人の忌避感情の否定はできない。)
  導入コストが高い。

所事物照合(ICカード/タグ/鍵/トークン,etc) 
盗用に対して無力
 

「紛失・置き忘れvs付けっ放し」のジレンマから逃れられない」

  導入コストが高い。

異種複合・マルチモーダル手法(上記技術相互の組合せ) 

長所の組合せとの誤解が蔓延しているが、実際には短所の組合せに帰着し、最低レベルの技術が全体のレベルを決定する。導入コストも運用コストも高い。

注2 ニーモニックガードと在来技術の比較

A 高い数学的強度を実現できるか

  在来型パスワード方式 X〜△ *1
  生体照合・所持物照合 X〜△ 或いは評価不能 *2、*3
  ニーモニックガード *4

B いつでも、どこでも、パニック状態でも、ユーザにストレスを掛けず、人格の尊厳を損なわずに、本人を排除せずに他人のみを有効に排除できるか?

  在来型パスワード方式 *5
  生体照合・所持物照合 *6
  ニーモニックガード *7

C コスト(導入費用+運用費用)は妥当か

  在来型パスワード方式 *8
  生体照合・所持物照合 *9
  ニーモニックガード *10

*1: 一般には覚えやすさ優先や混乱回避から本人固有の客観的事実を材料にするので△であるが、厳格管理の旗の下でランダム・英数字大文字小文字特殊記号混じり・6桁以上の強制を受けると表面上は服従しつつもメモに記して端末機の周辺に(同僚・上司・部下がやっているように)秘匿するのでXとなる

*2: 一般の実運用では本人拒否対策の救済策としてパスワードをOR型選択式で併用するので数学的強度がパスワードの強度を上回ることはない。従って自動的にX〜○となる。本人拒否対策の救済策を併用しない単独使用では、メーカー毎に算定基準の異なる本人拒否率と他人受容率のトレードオフ関係の中で数学的強度が確定できない。つまり、評価不能である。

*3: 盗用・付けっ放しの場合の強度はゼロ。「付けっ放しvs紛失・置き忘れ」ジレンマの数学的評価は不可能。

*4: 8x8=64個の写真の中に秘匿された昔の愛着ある写真10枚を探すだけで認証を完了できるケースであれば、パニック状態でも、老若を問わず、誰でも実行でき且つまぐれ当たり確率は 10/64x9/63x8/62x7/61x6/60x5/59x4/58x3/57x2/56x1/55 = 1/(1.99463E+22) として確定する

*5: 他人排除力のあるパスワードを複数組も使いこなせる人は極めて稀である。

*6: 注意深い善意の同僚に恵まれた事務所内など特定の環境の下でしか成立しない。

*7: 全ての要件を満たす。

*8: 導入コストは極めて低いが問い合わせ・再発行など運用コストは高い。

*9: 大きなハードウェア購入コストが掛かる上に、維持コストも無視できない。

*10: 問い合わせ・再発行の運用コストが押さえられる為に、無償で導入できる文字パスワードよりもトータルコストは小さい。 

[ このウィンドウを閉じる ]