Chapter 6 Privacy Tools
脅威分析研究会
片岡 良典
Chapter 6 Privacy Tools
• 4 ステージモデルの中の「脅威の発見」で、プライバシーに関す
る脅威を抽出する方法を紹介している。
– 紹介されているものの中にはフレームワークもあるので、その場合は 4 ステージモデル全 体に組み込むことになる
• プライバシーの脅威を見つける方法 ( ツール )
– Solove のプライバシー脅威の類型論
– IETF の「インターネットプロトコルにおけるプライバシーを検討すべき事項」 – プライバシー影響評価 (PIA: Privacy Impact Assessment)
– Nymity スライダー – Contextual Integrity – LINDDUN アプローチ
• 以下の 3 つ ( から 1 つ以上 ) を、 4 ステージモデルの「セキュリ
ティ脅威の発見」のフェーズで使用することを推奨
– Solove のプライバシー脅威の類型論 – Contextual Integrity
– LINDDUN アプローチ
Solove のプライバシー脅威の類型論
• プライバシーの脅威を分類しており、 STRIDE と同じような使い方でプライバシーの脅威の発見 ができる
• プライバシー脅威の分類
– ( 識別子生成 :Identifier Creation) – 情報収集 :Information collection
• 監視 :surveillance, 尋問 :interrogation
– 情報処理 :Information processing
• 集約 :aggregation, 同定 :identification, 非セキュリティ状態 :insecurity, 二次利用 :secondary use, 排除 :exclusion
– 情報拡散 :Information dissemination
• 守秘義務関係破壊 :breach of confidentiality, 開示 :disclosure, アクセス可能性の増大 :increased accessibility, 脅迫 :blackma il, 盗用 :appropriation, 歪曲 :distortion, [ 暴露 :exposure]
– 侵襲 :Invasion
• 侵入 :intrusion, 意思決定への介入 :decisional interference
• 類型モデル
データ主体
侵襲
情報収集
データ保有者情報処理
情報拡散
Shostack が追加
他の分類に含まれるが、多くの脅威を可能にする ものであるため、独立して分類すべきという主張
Shostackが括弧付け
↑ プライバシー特有ではなく、 セキュリティでも出てくるため
Solove のプライバシー脅威の類型論
• 脅威を発見する際に着目する点 / 場所
脅威の分類 着目する点 / 場所
Identifier Creation 開発者がユーザーの特定を行っているところ
Surveillance 広範囲の人の情報を収集しているとか、気づきにくい方法で個人 の情報を収集していないか
Interrogation: Webのフォームの「 * 必須」のように、個人の情報の入力を強要 している部分
Aggregation 外部のエンティティから入ってくるデータフロー
Identification Aggregationに関連したところや、人と人が直接相互作用するとこ ろ
Insecurity 意思決定のためにデータが集められるところ Secondary Use 信頼の境界と交わるところ
Exclusion 意思決定を行うところ。不正な意思決定が行われることが多々あ る。
Information dissemination 外部へ出ていくデータフローが信頼の境界と交わる場所 Intrusion 人が直接侵入するような機能 ( ある場合のみ )
Decisional interference 情報収集と情報処理が意思決定に影響するような場所
インターネットプロトコルにおけるプライバシーを検討すべき事項
• RFC6973
• プロトコル設計者向けにプライバシー脅威と緩
和策とガイドラインを示したもの
• 通信をモデル化して説明している
Initiator Recipien
t
Attacker
Intermediary
Eavesdropper
Enabler
認証サーバー など PROXYな
ど
受動的に情 報を収集す
る者
インターネットプロトコルにおけるプライバシーを検討すべき事項
• 脅威にはセキュリティとプライバシーで共通の
ものと、プライバシー特有のものがある
– セキュリティとプライバシーで共通の脅威
• Surveillance :通信や行動の観察。通信を暗号化していても影響はある。
• Stored data compromise :エンドシステムで適切にデータの管理をしていない等に よる、データの漏えい
• Intrusion( 侵入 ) : DoS など、勝手にメッセージを送りつけるような行為
• Mis-Attribution(ID と属性の間違った紐づけ ) :特定の IP アドレスを共有している ときに、誰かのせいでブラックリスト入りした時に共有している全員が影響を受ける 等
– プライバシー特有の脅威
• Correlation :名寄せの問題
• Identification :データと個人の紐づけ
• Secondary Use :同意を得ていない、データの 2 次使用
• Disclosure :個人の情報の公表
• Exclusion :データの使われ方や扱い方のコントロールができないこと。盗聴者に勝 手にデータを盗み見られることなどが該当する
DoS系でまとめ られている
とらえ方が違うだけで
、同じ事象が含まれて いたりしている
とらえ方が違うだけで
、同じ事象が含まれて いたりしている
プライバシー影響評価 (PIA: Privacy Impact Assessment)
• PIA とは、「全てのステークホルダーの観点で、プロ
ジェクト、取り組み、システムあるいは計画のプライバ
シーにおける潜在的な影響を特定および評価し、プライ
バシーへの悪い影響を無くすまたは緩和する方法を探す
、体系的なプロセス」である (by Roger Clarke)
– 個人情報の収集を伴う情報システムの企画、構築、改修にあたり、情報提供者のプライバ シーへの影響を「事前」に評価し、情報システムの構築・運用を適正に行うことを促す一 連のプロセス (Wikipedia より引用 )
• 2008 年 4 月に ISO 22307(Financial services Privacy i
mpact assessment) で標準化された
プライバシー影響評価 (PIA: Privacy Impact Assessment)
• PIA のレポートには以下のような項目がある点で
脅威分析に似ている
– プロジェクトについての記述
– データフローの記述
– 情報プライバシーの原則に対する分析
– 他の側面に対する分析
– プライバシーコントロールの環境の分析
– 発見と推奨
• ↑ より、 PIA のアプローチは脅威分析の 4 ス
テップモデルを補完できると考えられる
DFDに似ている
脅威の発見に似ている
Nymity スライダー
• 「 A Pseudonymous Communications Infrastructure for
the Internet 」の中で提示されている「システム中の個
人情報の量を評価し、比較のためにプライバシー侵害の
度合いを測定するツール」
• Nymity: 匿名 (anonymous) と仮名 (pseudonym) の由来の
ラテン語
Nymity スライダー
• プライバシー侵害度合い
– Verinymity( 記名性 / 実名性 )
• 実名のような変更不可能な固有の識別子を使い、個人が特定できるレベル
• 重要な属性に Linkability と Permanence があり、これらによって“なりすまし犯罪” が深刻な問題となる。
– Persistent Pseudonymity( 永続的な仮名性 )
• ペンネームのような特定個人との紐づけが明確ではない識別子で、個人の識別ができ るレベル
– Linkable anonymity( 個人を識別可能な匿名性 )
• 個人を特定できないが、どの識別子と紐付いているかという識別はできるレベル
– Unlinkable anonymity( 個人を識別不可能な匿名性 )
• 個人を特定も識別もできないレベル
• “Verinymity” に近づける方向の変更は行いやすい
• Linkability は Solove の identification と aggregation
の考え方に近い
プライバシーの侵害度合い
高
低
Contextual Integrity
• 情報伝達におけるプライバシー侵害の分析のフ
レームワーク
– 最初はインシデント発生後の分析ツールとして出された
• Context とは ?
– 関連する役割、活動、規範、価値がある、我々の生活の中にある場所
や、社会的な集団や領域のこと
– レストラン、病院、会社、学校等々
– 例: Context= 「病院」と考えると、
• Context に含まれる役割=医者、患者、看護師、患者の家族、病院の管理者 etc.
• それぞれの役割の人には、果たすべき役割と、行動規範と、活動によって生み出され る価値がある
Contextual Integrity
• Augmented Contextual Integrity Heuristic
– データフローの観点で新しい活動を記述する
– 関係する Context を特定する
– データと送信者と受信者を特定する
– 伝送の本質を特定する
– 適用できる規範を定め、重要な変化を特定する
– 査定をする
– 評価を行う
– 裁定する
• ↑ より、 4 ステージモデルとの親和性が高い
( 組み込むことができる ) と思われる
DFDの作成に似ている
LINDDUN methodology
• LINDDUN methodology
– 引用元の「 A privacy threat analysis framework 」は、プライバ
シー脅威の分析→要求の導き出し→対策の選択を行うフレームワーク
を提案している
– LINDDUN はフレームワークの中で使用するプライバシー脅威の分類
LINDDUN
• プライバシー版の STRIDE
• LINDDUN
• Soft Privacy/Hard Privacy
– Hard Privacy: 他のエンティティの信用に依存せず、できるだけプライバシーデータを渡さないようにする – Soft Privacy: データのコントロールができない代わりに、データを受け取る他のエンティティを信用する
• セキュリティと共通なもの (Integrity 等 ) は含めず、プライバシー特有のもの
だけを扱う
← セキュリティと反対で、 プライバシーでは脅威に入る