• 検索結果がありません。

Chapter 6 Privacy Tools 20160513

N/A
N/A
Protected

Academic year: 2018

シェア "Chapter 6 Privacy Tools 20160513"

Copied!
14
0
0

読み込み中.... (全文を見る)

全文

(1)

Chapter 6 Privacy Tools

脅威分析研究会

片岡 良典

(2)

Chapter 6 Privacy Tools

• 4 ステージモデルの中の「脅威の発見」で、プライバシーに関す

る脅威を抽出する方法を紹介している。

– 紹介されているものの中にはフレームワークもあるので、その場合は 4 ステージモデル全 体に組み込むことになる

• プライバシーの脅威を見つける方法 ( ツール )

– Solove のプライバシー脅威の類型論

– IETF の「インターネットプロトコルにおけるプライバシーを検討すべき事項」 – プライバシー影響評価 (PIA: Privacy Impact Assessment)

– Nymity スライダー – Contextual Integrity – LINDDUN アプローチ

• 以下の 3 つ ( から 1 つ以上 ) を、 4 ステージモデルの「セキュリ

ティ脅威の発見」のフェーズで使用することを推奨

– Solove のプライバシー脅威の類型論 – Contextual Integrity

– LINDDUN アプローチ

(3)

Solove のプライバシー脅威の類型論

• プライバシーの脅威を分類しており、 STRIDE と同じような使い方でプライバシーの脅威の発見 ができる

• プライバシー脅威の分類

( 識別子生成 :Identifier Creation) 情報収集 :Information collection

監視 :surveillance, 尋問 :interrogation

情報処理 :Information processing

集約 :aggregation, 同定 :identification, 非セキュリティ状態 :insecurity, 二次利用 :secondary use, 排除 :exclusion

情報拡散 :Information dissemination

守秘義務関係破壊 :breach of confidentiality, 開示 :disclosure, アクセス可能性の増大 :increased accessibility, 脅迫 :blackma il, 盗用 :appropriation, 歪曲 :distortion, [ 暴露 :exposure]

侵襲 :Invasion

侵入 :intrusion, 意思決定への介入 :decisional interference

類型モデル

データ主体

侵襲

情報収集

データ保有者

情報処理

情報拡散

Shostack が追加

他の分類に含まれるが、多くの脅威を可能にする ものであるため、独立して分類すべきという主張

Shostackが括弧付け

↑ プライバシー特有ではなく、 セキュリティでも出てくるため

(4)

Solove のプライバシー脅威の類型論

• 脅威を発見する際に着目する点 / 場所

脅威の分類 着目する点 / 場所

Identifier Creation 開発者がユーザーの特定を行っているところ

Surveillance 広範囲の人の情報を収集しているとか、気づきにくい方法で個人 の情報を収集していないか

Interrogation: Webのフォームの「 * 必須」のように、個人の情報の入力を強要 している部分

Aggregation 外部のエンティティから入ってくるデータフロー

Identification Aggregationに関連したところや、人と人が直接相互作用するとこ ろ

Insecurity 意思決定のためにデータが集められるところ Secondary Use 信頼の境界と交わるところ

Exclusion 意思決定を行うところ。不正な意思決定が行われることが多々あ る。

Information dissemination 外部へ出ていくデータフローが信頼の境界と交わる場所 Intrusion 人が直接侵入するような機能 ( ある場合のみ )

Decisional interference 情報収集と情報処理が意思決定に影響するような場所

(5)

インターネットプロトコルにおけるプライバシーを検討すべき事項

RFC6973

• プロトコル設計者向けにプライバシー脅威と緩

和策とガイドラインを示したもの

• 通信をモデル化して説明している

Initiator Recipien

t

Attacker

Intermediary

Eavesdropper

Enabler

認証サーバー など PROXY

受動的に情 報を収集す

る者

(6)

インターネットプロトコルにおけるプライバシーを検討すべき事項

• 脅威にはセキュリティとプライバシーで共通の

ものと、プライバシー特有のものがある

– セキュリティとプライバシーで共通の脅威

• Surveillance :通信や行動の観察。通信を暗号化していても影響はある。

• Stored data compromise :エンドシステムで適切にデータの管理をしていない等に よる、データの漏えい

• Intrusion( 侵入 ) : DoS など、勝手にメッセージを送りつけるような行為

• Mis-Attribution(ID と属性の間違った紐づけ ) :特定の IP アドレスを共有している ときに、誰かのせいでブラックリスト入りした時に共有している全員が影響を受ける 等

– プライバシー特有の脅威

• Correlation :名寄せの問題

• Identification :データと個人の紐づけ

• Secondary Use :同意を得ていない、データの 2 次使用

• Disclosure :個人の情報の公表

• Exclusion :データの使われ方や扱い方のコントロールができないこと。盗聴者に勝 手にデータを盗み見られることなどが該当する

DoS系でまとめ られている

とらえ方が違うだけで

、同じ事象が含まれて いたりしている

とらえ方が違うだけで

、同じ事象が含まれて いたりしている

(7)

プライバシー影響評価 (PIA: Privacy Impact Assessment)

• PIA とは、「全てのステークホルダーの観点で、プロ

ジェクト、取り組み、システムあるいは計画のプライバ

シーにおける潜在的な影響を特定および評価し、プライ

バシーへの悪い影響を無くすまたは緩和する方法を探す

、体系的なプロセス」である (by Roger Clarke)

– 個人情報の収集を伴う情報システムの企画、構築、改修にあたり、情報提供者のプライバ シーへの影響を「事前」に評価し、情報システムの構築・運用を適正に行うことを促す一 連のプロセス (Wikipedia より引用 )

• 2008 年 4 月に ISO 22307(Financial services Privacy i

mpact assessment) で標準化された

(8)

プライバシー影響評価 (PIA: Privacy Impact Assessment)

• PIA のレポートには以下のような項目がある点で

脅威分析に似ている

– プロジェクトについての記述

データフローの記述

– 情報プライバシーの原則に対する分析

他の側面に対する分析

– プライバシーコントロールの環境の分析

発見と推奨

• ↑ より、 PIA のアプローチは脅威分析の 4 ス

テップモデルを補完できると考えられる

DFDに似ている

脅威の発見に似ている

(9)

Nymity スライダー

• 「 A Pseudonymous Communications Infrastructure for

the Internet 」の中で提示されている「システム中の個

人情報の量を評価し、比較のためにプライバシー侵害の

度合いを測定するツール」

• Nymity: 匿名 (anonymous) と仮名 (pseudonym) の由来の

ラテン語

(10)

Nymity スライダー

• プライバシー侵害度合い

– Verinymity( 記名性 / 実名性 )

• 実名のような変更不可能な固有の識別子を使い、個人が特定できるレベル

• 重要な属性に Linkability と Permanence があり、これらによって“なりすまし犯罪” が深刻な問題となる。

– Persistent Pseudonymity( 永続的な仮名性 )

• ペンネームのような特定個人との紐づけが明確ではない識別子で、個人の識別ができ るレベル

– Linkable anonymity( 個人を識別可能な匿名性 )

• 個人を特定できないが、どの識別子と紐付いているかという識別はできるレベル

– Unlinkable anonymity( 個人を識別不可能な匿名性 )

• 個人を特定も識別もできないレベル

• “Verinymity” に近づける方向の変更は行いやすい

• Linkability は Solove の identification と aggregation

の考え方に近い

(11)

Contextual Integrity

• 情報伝達におけるプライバシー侵害の分析のフ

レームワーク

– 最初はインシデント発生後の分析ツールとして出された

• Context とは ?

– 関連する役割、活動、規範、価値がある、我々の生活の中にある場所

や、社会的な集団や領域のこと

– レストラン、病院、会社、学校等々

– 例: Context= 「病院」と考えると、

• Context に含まれる役割=医者、患者、看護師、患者の家族、病院の管理者 etc.

• それぞれの役割の人には、果たすべき役割と、行動規範と、活動によって生み出され る価値がある

(12)

Contextual Integrity

• Augmented Contextual Integrity Heuristic

– データフローの観点で新しい活動を記述する

– 関係する Context を特定する

– データと送信者と受信者を特定する

伝送の本質を特定する

– 適用できる規範を定め、重要な変化を特定する

査定をする

評価を行う

裁定する

• ↑ より、 4 ステージモデルとの親和性が高い

( 組み込むことができる ) と思われる

DFDの作成に似ている

(13)

LINDDUN methodology

• LINDDUN methodology

– 引用元の「 A privacy threat analysis framework 」は、プライバ

シー脅威の分析→要求の導き出し→対策の選択を行うフレームワーク

を提案している

– LINDDUN はフレームワークの中で使用するプライバシー脅威の分類

(14)

LINDDUN

• プライバシー版の STRIDE

LINDDUN

• Soft Privacy/Hard Privacy

Hard Privacy: 他のエンティティの信用に依存せず、できるだけプライバシーデータを渡さないようにする Soft Privacy: データのコントロールができない代わりに、データを受け取る他のエンティティを信用する

• セキュリティと共通なもの (Integrity 等 ) は含めず、プライバシー特有のもの

だけを扱う

←  セキュリティと反対で、   プライバシーでは脅威に入る

参照

関連したドキュメント

情報 システム Web サービス https://webmail.kwansei.ac.jp/ (https → s が 必要 ).. メール

R1and W: Predicting, Scanning, Skimming, Understanding essay structure, Understanding and identifying headings, Identifying the main idea of each paragraph R2: Summarizing,

R1and W: Predicting, Scanning, Skimming, Understanding essay structure, Understanding and identifying headings, Identifying the main idea of each paragraph R2: Summarizing,

In OC (Oral Communication), the main emphasis is training students with listening and speaking skills of the English language. The course content includes pronunciation, rhythm,

The purpose of this practical training course is for students, after learning the significance of the social work practicum in mental health, to understand the placement sites

Study Required Outside Class 第1回..

[Learning Goals] Upon completion of the course students are expected to be able to:. Read and analyze

The objective of this course is to encourage students to grasp the general meaning of English texts through rapid reading (skills for this type of reading will be developed