復元 PC と情報閲覧端末間のデータのやり取り

3.5 部分復元可能な秘密分散システムの問題と不正復元を防ぐ要件の定義

図3.27 災害時医療データを使用しない拠点を緊急用のシェアストレージを設置する 拠点に登録する際の状態遷移

拠点として登録する際に満たすべき要件である．要件(5)を満たす状態遷移を図3.27に示 す．まず，情報源が拠点の人間に緊急用のシェアストレージを作成する権限を与え登録す る．次に，緊急用のシェアストレージを設置する拠点の通信回線が耐災害性があるかを確認 する．次に，緊急用のシェアストレージを設置する場所に，情報源が権限を与えた人間以外 が侵入してきた場合に侵入を検知する仕組みがあるかを確認する．最後に情報源が登録して いる各復元PCに自身が緊急用のシェアストレージを持っていることを通知する方法がある かを確認する．全ての確認がとれた場合，情報源がその拠点を緊急用のシェアストレージを 設置する拠点として登録する．

以上全ての要件を満たすことによってシェアストレージ群から復元PCに安全にシェアを 配付することができる．

3.5 部分復元可能な秘密分散システムの問題と不正復元を防ぐ要件の定義

図3.28 復元PCと情報閲覧端末で流れるデータ

図3.29 復元PCから情報閲覧端末間でデータが洩れる条件

ルエリアネットワーク通信を用いる．そのため，第三者が災害時に医療データを扱う拠点で のローカルエリアネットワークに参加された場合や盗聴されると被災地での医療行為に必要 な医療データと患者の個人識別に必要な情報が洩れる．また，情報閲覧端末に復元PCから 入手した医療データを保存し持ち帰られた場合や，他の端末に医療データを送信されると，

被災地で医療行為を行うために必要な医療データが洩れる．

復元PCと情報閲覧端末間でデータが洩れる条件を図 3.29に示す．図3.29の○がついて いるセルはデータが洩れない条件を示しており，その他のセルはデータが洩れる条件を示し ている．ローカルエリアネットワーク通信を行うためには，ローカルエリアネットワークの 情報が必要になる．この情報は平常時に復元PCから事前情報として情報閲覧端末に送信さ れる．このとき，情報閲覧端末以外に事前情報を配付してしまうと第三者に情報が洩れる可 能性がある．

復元PCと情報通信端末間でデータが洩れないような要件を示す．

3.5 部分復元可能な秘密分散システムの問題と不正復元を防ぐ要件の定義

図3.30 復元PCから情報閲覧端末に事前情報を配付する際の状態遷移

要件(1) 「情報閲覧端末」∧ 「登録端末」∧「事前情報配付者」∧ 「登録者」⇒ 「事前情 報配付」

要件(2) 「医師」∧ 「情報閲覧端末」∧ ¬「医療情報保存」∧「盗聴対策」⇒ 「使用開始」

要件(1)は復元PCから情報閲覧端末に事前情報を配付する際に満たすべき要件である．

要件 (1)を満たすような状態遷移を図 3.30に示す．復元PCは情報閲覧端末に事前情報を 配付する前に，情報閲覧端末が正当なものかを確認する．そして，情報閲覧端末に事前情報 を流し込む人間が正当な人間であるかを確認し，復元PCから情報閲覧端末に事前情報を配 付する．

要件(2)は情報閲覧端末に医療データを配付するために満たすべき要件である．要件(2) を満たす状態遷移を図 3.31に示す．まず，情報閲覧端末を所持している人間が医療関係者 であるかを確認する．確認方法は医療関係者のみが知りうる情報について尋ね，正しい返答 があった場合医療関係者であると判断する．次に，情報閲覧端末が登録されているかを確認 する．次に，情報閲覧端末に医療データを保存することができないかを確認する．最後に情 報閲覧端末と復元PC間の通信路に盗聴対策が施されているかを確認し，情報閲覧端末に医 療データを配付する．

以上の要件を満たすことによって，復元PCから情報閲覧端末間のデータのやり取りを安 全に行うことができる．

3.6 まとめ

図3.31 情報閲覧端末に医療データを配付する際の状態遷移

3.6 まとめ

本章では，分散バックアップした医療データを被災地での医療行為に活用するために，部 分復元アルゴリズムを用いた部分復元可能な秘密分散システムを提案した．さらにシステム の問題点を整理し，システムでの不正復元を防ぐ要件を定義した．

部分復元アルゴリズムは紐付け情報とシェアが何らかの方法で第三者に洩れると不正に復 元される恐れがある．そこで，提案システムではデータをバックアップする情報源の病院が 紐付け情報とシェアの入手を制限する部分復元の制御データを作成し，事前情報として復元 PCとシェアストレージに配付する．シェアストレージは部分復元制御データを元にシェア を結合して配付するため，第三者が紐付け情報を作成したとしても，結合したシェアを操 作することはできない．シェアを入手するためには部分復元制御データが必要になるため，

情報源から部分復元制御データを入手していなければシェアを入手することは困難である．

よって不正復元を防ぐ．

しかし，情報源が作成する部分復元制御データが第三者に洩れると不正に復元される可能 性がある．部分復元制御データが洩れる点は各端末と情報源と端末間の経路である．特に復 元PCに事前情報として配付する部分復元制御データには復元に必要な情報がすべて揃って

3.6 まとめ

いるため洩れると不正復元される可能性が高い．よってそれぞれの端末間のやりとりで洩れ る条件を整理し，それぞれのやりとりで満たすべき要件を定めた．さらに要件を満たす状態 遷移を示した．状態遷移を施した対策を行うことによって不正復元を防ぐことができる．

第 4 章

不正復元を防ぐ部分復元可能な秘密 分散システムの評価

本章では，部分復元可能な秘密分散システムと提案システムでの不正復元を防ぐ要件の評 価を行う．初めに部分復元可能な秘密分散システムの評価を行い，次に不正復元を防ぐ要件 を評価する．最後に，要件をすべて満たした理想的なシステムの考察を行う．