iKaaS—— プライバシーに配慮した IoT プラットホーム ——*

招待論文

iKaaS—— プライバシーに配慮した _IoT プラットホーム _——*

内林 俊洋

^†

門間 陽樹

^†

新城 龍成

^††

久保 孝嘉

^††

橋 祐一

^†††

加藤 尚徳

^††††

披田野清良

^††††

菅沼 拓夫

^†

地 正浩

^†

橋本 和夫

^††

清本 晋作

^††††

iKaaS——Privacy Preserved IoT Platform——

^∗

Toshihiro UCHIBAYASHI

^†

, Haruki MOMMA

^†

, Tatsunari ARASHIRO

^††

, Takayoshi KUBO

^††

, Yuichi HASHI

^†††

, Naonori KATO

^††††

, Seira HIDANO

^††††

, Takuo SUGANUMA

^†

, Masahiro HIJI

^†

, Kazuo HASHIMOTO

^††

,

and Shinsaku KIYOMOTO

^††††

あらまし IoTデバイスからクラウド上にデータを収集し，保管，利用する組織の枠を越えて，組織間でデー タを相互に利用することができれば，新たな知見の発見の可能性が高まる．IoTデバイスから収集したデータは プライバシー情報を含むことが大部分であり，データオーナーや国の規制により定められる利用許諾条件の遵 守はプライバシーに配慮したデータの利用を行う上で不可欠である．このような環境を実現するため，我々は，

プライバシーに配慮したIoT向け情報集約基盤であるintelligent Knowledge-as-a-Service（iKaaS）プラット ホームの研究開発を行っている．iKaaSプラットホームは，アプリケーションがデータを取得するときに，各 データの利用許諾条件をチェックし，条件を満たすデータのみをアプリケーションに返すことでデータの適正利 用を実現する．これにより，アプリケーション開発者は，データの利用許諾条件を意識することなく，これまで と同様にアプリケーションの開発ができる．

キーワード IoT，プライバシー，Knowledge as a Service，クラウドコンピューティング

1.

^{ま え が き}

現代のモバイル社会は，急激なパラダイムシフトの 渦中にあり，

Internet of Things (IoT)

技術への関心 が非常に高まっている．特に，近年の

IoT

デバイスの 成長は特筆すべきものがあり，周囲の環境状況を観測 するためのスマートセンサや，個人の健康状態を測定

†東北大学，仙台市

Tohoku University, 2–1–1 Katahira, Aoba-ku, Sendai-shi, 980–8577 Japan

††††（株）KDDI総合研究所，ふじみ野市

KDDI Research, Inc., 2–1–15 Ohara, Fujimino-shi, 356–

8502 Japan

††国際航業株式会社，東京都

Kokusai Kogyo Co., Ltd., 2 Rokubancho, Chiyoda-ku, Tokyo, 102–0085 Japan

†††（株）日立ソリューションズ東日本，仙台市

Hitachi Solutions East Japan, Ltd., 2–16–10 Honcho, Aoba- ku, Sendai-shi, 980–0014 Japan

*本論文は，システム開発・ソフトウェア開発論文である．

DOI:10.14923/transcomj.2017IAI0001

するためのウェアラブルデバイスなど，目的や形態を 異にする多種多様なデバイスが一般生活に浸透してい る．それらのデバイスの多くはクラウドサービスと連 携しており，クラウド上には日々膨大な量のデータが 集積されている．

IoT

デバイスから取得したデータは，

個人の嗜好の解析や，環境状況や行動の予測などに利 用されているが，複数のクラウド上に保管されている オーナの異なるデータを有機的に組み合わせることが できれば，新しい知見やサービスの創出の可能性は更 に高まる

[1]

〜

[6]

．

IoT

デバイスから取得されるデータの多くは，デー タオーナーのプライバシーに配慮すべき個人データで あり，データオーナーや国の規制により定められる利 用許諾条件の遵守はプライバシーに配慮したデータの 利用を実現する上で解決しなければならない重要な問 題の一つである．特に国の規則は極めて複雑であり，

個人データの定義や他国へのデータ提供の可否等につ いては国家間で大きく異なる．

例えば，

EU

のデータ保護一般規則（

General Data Protection Regulation

，

GDPR

）

[7]

では，特段の手 当無しに日本を含む

EU

域外の第三国へのデータ提供 は許可されていない．分散クラウド環境に関する研究 開発は近年のトレンドの一つであり，数は少ないがセ キュリティやプライバシーの問題について言及してい るものもある

[8]

〜

[14]

．しかしながら，それらは一般 的なセキュリティやプライバシーの観点からプラット ホームに求められる要件と既存技術を整理するにとど まっており，データの利用許諾条件の遵守によるプラ イバシーの配慮に取り組んでいる研究はない．

我々は，データオーナーや国の規制により定められ る利用許諾条件を遵守したデータの利用を実現する

IoT

向け情報集約基盤である

intelligent Knowledge- as-a-Service

（

iKaaS

）プラットホーム

[15]

の研究開発 を行っている．研究プロジェクトには，日本と欧州そ れぞれの事業者が参加しており，相互のデータ活用が 目標として掲げられている．先行する研究

[2]

，ある いは同時期の研究

[16]

〜

[18]

と比較しても，プライバ シー保護を念頭においた取り組みとして，実証研究レ ベルのものとしては他に例がない．

iKaaS

プラットホームは，グローバルクラウドと複

数のローカルクラウドが階層的に配置され，グローバ ルクラウドはローカルクラウド上のデータを統合利用 すると同時に，様々なアプリケーションにデータ解析 手法等の「知識」を提供する．また，

iKaaS

プラット ホームを用いることにより，アプリケーションはデー タの所在を意識することなく国境を越えたデータにも アクセスすることができ，国家間の比較など，これま でとは異なる規模の解析が可能となる．

iKaaS

プラットホームの特徴は，セキュリティゲー

トウェイにある．セキュリティゲートウェイは，ロー カルクラウドの入り口に設置され，アプリケーション からデータの取得要求が行われ，ローカルクラウド内 のデータベースから要求に一致するデータをアプリ ケーションに返す際，データの利用許諾条件をチェッ クし，利用許諾条件を満たすデータのみを返す．デー タオーナーの利用条件を格納するプライバシーポリ シーデータベースと国の規制を格納するセキュリティ ポリシーデータベースを用いてこのチェックを行う．

更に，連続したデータへのアクセスを効率化するため，

このチェックをトークンを用いて行うことにより，

IoT

デバイス等から短周期で連続的に取得されるデータに 対するアプリケーションからの連続的な取得要求に効

率的に対応する．

iKaaS

プラットホームを用いること により，アプリケーションはデータの利用許諾条件を 意識することなく組織を越えたさまざまなデータオー ナーのデータにもアクセスすることができる．

2. iKaaS

プラットホームアーキテクチャ

iKaaS

プラットホームのアーキテクチャを図

1

に 示す．

iKaaS

プラットホームは，グローバルクラウド と複数のローカルクラウドから構成され，それらは階 層的に配置される．ローカルクラウドは日本と

UK

な ど異なる国に設置される場合があり，各ローカルクラ ウド上には組織ごとにデータの収集，利用，管理の効 率性から複数のデータベースが存在する．アプリケー ションはこのデータベースから必要なデータを取得す るが，一回の取得要求当り数万レコードのデータが取 得されることが多いと想定している．

一方，グローバルクラウドは国境を越えて分散配置 されたローカルクラウドを透過的に統合したクラウド 環境であり，アプリケーションやサービスの間で共有 するデータ処理等に関する知識を格納，提供する．以 下，

2.1

にてグローバルクラウド，

2.2

にてローカル クラウドについて説明する．

2. 1

グローバルクラウド

複数のローカルクラウドから得られるデータの統合 的な処理，そして処理によって得られた知識などを蓄 える．これにより，地理的に離れたローカルクラウド を利用したクロスボーダーアプリケーションを実現し，

様々なタイプのサービス間で知識を共有することが可 能となる．グローバルクラウドには，サービスマネー

図1 iKaaSプラットホームアーキテクチャ

Fig. 1 iKaaS platform architecture.

ジャ，リソースカタログ，データプロセッシング，そ してグローバル知識データベースが含まれる．

2. 1. 1

^{サービスマネージャ}

サービスマネージャ（図

1

の

Service Manager

）は，

アプリケーションが

iKaaS

プラットホームを利用する ための

Application Programing Interface

（

API

）を もち，地理的に多様な場所に展開される分散ローカル クラウド環境を透過的に利用するための機能を提供す る．アプリケーションはサービスマネージャを介して 要求するデータが保管されているローカルクラウドの 情報をリソースカタログより取得し検索する．

2. 1. 2

リソースカタログ

リソースカタログ（図

1

の

Resource Catalogue

） は，どのデータがどこのローカルクラウドのどのロー カルクラウド

DB

に格納されているかを

Resource Description Framework (RDF)

で管理している．リ ソースカタログが存在することで，アプリケーション は要求するデータの場所を意識することなく，目的の データを取得することができる．また，アプリケー ションは，リソースカタログから目的のデータが格納 されているローカルクラウドの場所を貰い，

3.

で紹介 するトークンに関する一連の処理を行う．

2. 1. 3

^{データプロセッシング}

データプロセッシング（図

1

の

Data Processing

） は，グローバルクラウド上に一つ存在する．アプリ ケーションが，データベースから得られる検索結果 データを特定のデータフォーマットに変換したデータ を必要とする場合やデータベースから得られる検索結 果データを解析した結果のデータを必要とする場合，

要求された処理を行う．処理を行う場合，まず，後述す るグローバル知識データベースからアプリケーション の要求に一致する知識を取得する．次に，取得した知 識に基づき，必要なデータを取得するクエリをセキュ リティゲートウェイに送り，その結果得られた検索結 果データを取得する．取得した検索結果データに対 し，あらかじめ取得した知識を利用してデータフォー マットの変換やデータの解析を行い，その結果をアプ リケーションに返す．

2. 1. 4

グローバル知識データベース

グローバル知識データベース（図

1

の

Global Knowl- edge DB

）は，現実世界における知識に関連するデー タを格納するデータベースである．データプロセッシ ングとグローバル知識データベースの組み合わせは，

「サービスとしての知識」の提供に不可欠となる．

2. 2

ローカルクラウド

ローカルクラウドは，あるクラウド事業者が管理す るクラウドであり，様々なデータはローカルクラウド で管理される．クラウド利用者は，契約したクラウド 事業者のローカルクラウドを用いて

IoT

デバイスか ら収集した大量のデータの管理する．すなわち，ロー カルクラウド上には，クラウド利用者ごとに収集し たデータを管理するローカルクラウド

DB

（図

1

の

Local Cloud DB

）が存在する．あるクラウド利用者 のデータベースには，

IoT

デバイスから収集された計 測データと

IoT

デバイスの情報，データ収集に関する イベントの情報，データの所有者の情報，データを収 集する際に示した利用許諾条件が関連づけて管理され る．

iKaaS

のアプリケーションは，透過的なローカル クラウドへのアクセスを実現するグローバルクラウド を経由し，アプリケーションが必要とするデータを管 理している各ローカルクラウドから使用許諾条件や国 や組織の規制を満たしたデータを取得し，利用する．

2. 2. 1

セキュリティゲートウェイ

セキュリティゲートウェイは，ローカルクラウド上 に一つ存在し，サービスマネージャやデータプロセッ シングからのクエリを受け取り，それをクエリファン クション（図

1

の

Query Function

）に転送し，その結 果得られた検索結果データをクエリファンクションか ら受け取り，使用許諾条件や国や組織の規制を満たし たデータだけを呼び出し元に返す．セキュリティゲー トウェイの詳細については

3.

で述べる．

2. 2. 2

^{ローカルクラウド}

DB

一つ以上のローカルクラウド

DB

がローカルクラウ ドに存在する．ローカルクラウド

DB

のデータ管理は，

データ分析のために大量のデータを高速に検索し，収 集環境に応じて変化するデータを柔軟に検索する必要 があるため，適切なローカルクラウド

DB

に格納され る．ローカルクラウド

DB

には，管理されるデータの 特性に合ったデータベース管理システムを採用できる ようにし，各データベース管理システムのプロトコル の違いは次節に説明するクエリファンクションで吸収 する．

2. 2. 3

^{クエリファンクション}

クエリファンクションは，セキュリティゲートウェ イからクエリを受け取り，ローカルクラウド

DB

に クエリを転送する．そして，そのクエリの検索結果を ローカルクラウド

DB

から受け取り，その検索結果を セキュリティゲートウェイに返す．転送先のローカル

クラウド

DB

は，クエリからデータベース名を取り出 し，データカタログ中の該当するエントリの

URI

で 指定されたローカルクラウド

DB

を転送先のローカル クラウド

DB

にする．クエリに複数のローカルクラウ ド

DB

へのクエリが指定されている場合，クエリから 一つのローカルクラウド

DB

へのクエリを取り出し，

該当するローカルクラウド

DB

へクエリを送信する処 理を指定されているローカルクラウド

DB

の分だけ繰 り返す．この場合，各ローカルクラウド

DB

から返さ れた検索結果はデータベース単位に一つの検索結果に まとめられ，セキュリティゲートウェイに返される．

3.

セキュリティとプライバシー

図

1

を用いてプライバシーに配慮した

iKaaS

プラッ トホームのセキュリティアーキテクチャについて説明 を行う．

セキュリティゲートウェイはローカルクラウドごと に，グローバルクラウドとの接点に設置され，アプリ ケーションからのクエリとローカルクラウド上のデー タは全てセキュリティゲートウェイを通してやり取り される

[19]

．また，セキュリティゲートウェイは，アプ リケーション側とローカルクラウド側の双方の国の個 人データに関する規則に配慮してアプリケーションに アクセス権を付与するアクセス制御と，データの所有 者の許諾状況に基づきデータの提供可否を決定するプ ライバシー制御の二つの機能をもつ．ただし，アクセ ス制御は

Privacy Certification Authority (

プライバ シー

CA)

（図

1

の

Global Privacy CA

）によって発行 されるプライバシー証明書（

3. 1

^{）及びセキュリティポ} リシ（

3. 2

）を用いることにより実現される

[20], [21]

． また，プライバシー制御の際には，プライバシーポリ シ（

3. 3

）が用いられる．両機能の詳細については，

3. 4

^{で述べる．}

3. 1

プライバシー証明書

プライバシー証明書は，セキュリティゲートウェイ がアプリケーション側の国の規則を解釈する際に用い られる．したがって，アプリケーションが

iKaaS

プ ラットホームを利用するためには，事前にプライバ シー証明書を取得しておかなければならない．ただし，

プライバシー証明書の発行局であるプライバシー

CA

は各国に設置され，アプリケーションは自国の

CA

か ら証明書を発行してもらう必要がある．プライバシー 証明書は，個人データに関する国家レベルの規則と，

アプリケーションに関する種々の情報に基づき作成さ

表1 アクセス権の有効期間 Table 1 Valid of access rights.

規則 気温 室温 心拍数 都市空間 モデル 基本ポリシ JP 3y JP 3y JP 3y JP 3y UK 3y UK 1y JK 1y UK 3y スマートシティ規約 JP 1y JP 1y JP 1y JP 1y UK 1y UK 1y UK 0 UK 1y

れ，以下の項目が記載される．

• CA Country:

プライバシー

CA

の設置国

• Application IP:

アプリケーションの

IP

アド レス

• Application ID:

アプリケーションが提供する サービスを種別する識別子

• LC Countries:

アプリケーションがアクセスす ることが許可されている国の名前．複数の値を指定可

• LC Data IDs:

アプリケーションがアクセスす ることが許可されているデータを種別する識別子．本 項目は，

LC Countries

の各値に入れ子で定義．複数 の値を指定可

• Expires:

プライバシー証明書の有効期限

• Application PK:

アプリケーションの公開鍵（本 項目の役割は，

3. 4

^参照）

• Signature:

署名は，プライバシー

CA

の秘密鍵 を用いて生成．公開鍵は事前にセキュリティゲートウェ イに配布

3. 2

セキュリティポリシ

セキュリティポリシは，ローカルクラウドの管理者 によって，ローカルクラウド側の国の規則に基づき，

ポリシマネージャを通して設定される．ポリシマネー ジャは，ローカルクラウドが設置されている国のプラ イバシー

CA

によって提供され，国家レベルの規則に 準ずる基本ポリシはあらかじめ設定されているものと する．管理者は国家レベルよりも小さい単位，すなわ ち，県や市レベルの規則，若しくは，企業などの組織 ごとの規則，また，必要に応じて種々のガイドライン に基づき，セキュリティポリシを設定する．セキュリ ティポリシの例を表

1

と表

2

に示す．

表

1

及び表

2

では，あるローカルクラウドにおい て，スマートシティ関連のデータが管理されているこ とを想定し，基本ポリシに加えて，スマートシティの 規約が設定されている．

セキュリティポリシは，アクセス権の有効期間とプ ライバシーの定義に関する二つのテーブルをもつ．

表2 プライバシーの定義 Table 2 Definition of privacy.

規則 気温 室温 心拍数 都市空間 モデル 基本ポリシ Non-

Privacy Privacy Non-

privacy privacy

スマートシティ規約 Non-

Privacy Privacy Privacy privacy

表3 プライバシーポリシ Table 3 Privacy policy.

Owner ID 室温 心拍数 都市空間モデル

1 Yes Yes Yes

.. .

..

. . .. .

.. K Yes No No

どちらのテーブルについても，管理者は，データ の種類（データ

ID

）ごとに値を設定する（すなわち，

表

1

及び表

2

のセキュリティポリシは，気温，室温，

心拍数，都市空間モデルの四つのデータ

ID

をもつ）．

各テーブルの各行は，ある一つの規則若しくはガイド ラインに対応する（基本ポリシもいずれかの行に含ま れているものとする）．アクセス権の有効期間は表

1

に示すように，国ごとに設定される．表

1

の

1y

は，有 効期限が

1

年であることを意味する．ただし，値

“0”

はその国に対してデータの提供を許可しないことを意 味する．表

1

のアクセス権は，アプリケーションの種 類ごとに設定される．表

2

のプライバシーの定義の値

“Non-privacy”

は配慮する必要がないことを表す．値

“Privacy”

は，当該データ

ID

で表される種類のデー タについては，データの所有者のプライバシーに配慮 する必要があることを表す．ただし，表

2

のプライバ シーの定義において値

“Non-privacy”

が設定された データ

ID

についても，セキュリティ及びデータの更 新頻度等を考慮して表

1

のアクセス権においてアクセ スの有効期間を設定しなければならない．

3. 3

プライバシーポリシ

個人データについては

2.

でも述べたようにプライ バシーの観点からデータの所有者が自らの意思でデー タ提供の可否を制御できるべきである．本モデルでは，

iKaaS

プラットホームへのデータ提供に関するデータ

の所有者らの許諾状況は，プライバシーポリシ

[21]

に 記載される．セキュリティゲートウェイは，プライバ シーポリシを参照してデータの所有者らのプライバ シーを制御する．表

3

にプライバシーポリシの一例を 示す．

データの所有者らは，データ

ID

ごとにデータ提供 の可否を設定する．値

“Yes”

は当該所有者が

iKaaS

プラットホームへのデータ提供に同意していることを 表し，値

“No”

は同意していないことを表す．許諾状 況は表

2

のテーブルにおいてプライバシータイプ（詳 細は

3. 4

を参照）が

“Privacy”

と判定されたデータ に対して設定される．また，プライバシーポリシは，

セキュリティポリシと同様にアプリケーション種類ご とに設定される．

3. 4

アクセスとセキュリティ制御

セキュリティゲートウェイによるアプリケーション のアクセス制御はトークンを用いて行われる．アプリ ケーションからローカルクラウド

DB

へのアクセス要 求があった場合，セキュリティゲートウェイは当該ア プリケーションにトークンを返す．正しいトークンを もつアプリケーションのみがデータを取得することが できる．アプリケーションは，トークンの有効期限が 切れるまで同一トークンを用いて何度でもデータにア クセスすることができる．トークンを用いることによ り，セキュリティゲートウェイによるプライバシー証 明書やセキュリティポリシの確認処理に関わるコスト 問題を回避し，短周期で逐次的に更新されるデータへ の連続的なアクセスが可能となる．セキュリティゲー トウェイは，まず，プライバシー証明書に記載されて いる

LC Countries

と

LC Data IDs

の値を用いて，

アプリケーション側の国の規則により指定されたデー タ

ID

のデータについてアプリケーションがアクセス することが許可されているかを確認する．そして，セ キュリティポリシに記載されているアクセスの有効期 間を参照し，ローカルクラウド側の国の規則やガイド ラインを確認するとともに，トークンの有効期限を決 定する．この際，セキュリティゲートウェイは，プラ イバシー証明書に記載されている

Application ID

の 値と指定されたデータ

ID

を用いて，該当するデータ

ID

の列を検索する．

そして，その列の中で，プライバシー証明書に記載 されている

CA Country

の国に関する有効期間に着 目し，最も短い期間と現在の時刻を足し合わせ，トー クンの有効期限を導出する．もし，アプリケーション によって複数のデータ

ID

が指定されている場合には，

それぞれのデータ

ID

に対して，上述のプロセスを実 行し，複数の有効期限を一つのトークンに関連づける．

ただし，全てのデータ

ID

に対して，最も短い有効期 間が値

“0”

の場合，トークンは発行しないものとする．

次に，セキュリティゲートウェイは，セキュリティポ リシ

(

表

2)

を参照し，指定されたデータ

ID

のプライ バシーの定義を確認する．トークンの有効期限を決め た場合と同様に，セキュリティポリシ

(

表

2)

の中の該 当列を参照し，全ての行で値

“Non-privacy”

が設定さ れていれば，そのデータ

ID

で表される種類のデータ を

Non-privacy

データと呼び，プライバシーに配慮す る必要がないと判断する．いずれかの行に

“Privacy”

が設定されている場合，当該データを

Privacy

データ と呼び，アプリケーションに提供する際にデータの所 有者のプライバシーに配慮する必要があると判断す る．このプロセスも指定された全てのデータ

ID

に対 して行われる．本論文は，

Non-privacy

データ若しく は

Privacy

データのことをプライバシータイプと呼ぶ．

最後に，セキュリティゲートウェイは，プライバシー 証明書に記載されている

Application IP

と

Applica-

tion ID

の値，トークン，アプリケーションにより指定

されたデータ

ID

，トークンの有効期限，プライバシー タイプを関連づけてトークン

DB

（図

1

の

Token DB

） に保管する．複数のデータ

ID

が指定されている場合 には，それぞれについて，データ

ID

，トークンの有 効期限，プライバシータイプのセットを作成し，一つ のトークンに全てのセットを関連づける．そして，プ ライバシー証明書に記載されている

Application PK

を用いてトークンを暗号化し，それをアプリケーショ ンに返す．

iKaaS

プラットホーム上では，アプリケー ションとセキュリティゲートウェイの間にはグローバ ルプラットホームが介在するため，セキュリティゲー トウェイが直接アプリケーションとコミュニケーショ ンを取ることができず，アプリケーションの正当性の 検証に

SSL

のクライアント認証のような既存のプロト コルを使用することができない．トークンの暗号化は 本問題を解決するための一手段であり，プライバシー

CA

によって正しくプライバシー証明書が発行された アプリケーションのみが自身の秘密鍵を用いてトーク ンを復号することができる．

トークンを取得済みのアプリケーションがローカル クラウド

DB

にクエリを投じる際に呼び出されるとき は，セキュリティゲートウェイはトークンの真正性の 確認のみを行う．アプリケーションへデータを返す際 は，データの所有者のプライバシーに配慮するために，

セキュリティゲートウェイはアプリケーションがアク セスしたいデータのプライバシータイプを確認する．

データのプライバシータイプが

Non-privacy

データの

場合，セキュリティゲートウェイは何もすることなく，

全てのデータをそのままアプリケーションに返す．一 方，プライバシータイプが

Privacy

データの場合，セ キュリティゲートウェイはプライバシーポリシに基づ き，データのフィルタリングを実施する．

このとき，セキュリティゲートウェイは，クエリで 指定されたオーナ

ID

を用いてプライバシーポリシを 検索し，アプリケーションの種類とデータ

ID

に対す るデータの所有者らのデータ提供に関する許諾状況を 確認する．セキュリティゲートウェイは値

“Yes”

が選 択されている所有者のデータのみをアプリケーション に返す．

4.

^{性 能 評 価}

本章は，

iKaaS

プラットホームの性能評価を行う．

iKaaS

プラットホームのキーとなるデータのアクセス

制御を行う際のセキュリティゲートウェイの性能評価，

そして，アプリケーションが

iKaaS

プラットホームを 利用する際の

iKaaS

プラットホーム全体の性能評価を 行う．

4. 1

プライバシーセンシティブなデータのアクセ ス制御

セキュリティゲートウェイは，トークンベースによ るアクセス制御を行っている．これは個人データの第 三国への提供に関する規則の違いに着目したもので，

プライバシーに関わる法規に遵守してクロスボーダで データを共有するアクセス制御の仕組みを世界で初め て実現している．はじめに，セキュリティゲートウェ イは認証済みのアプリケーションにトークンを発行す る．アプリケーションは発行されたトークンを使用す ることで，プライバシー証明書の検証時間を短縮し，

スケーラビリティを確保することができる．本節は，

プライバシー証明書を使用した場合とトークンを使用 した場合の時間の比較，そして，スケーラビリティの 観点からのプライバシー制御のデータ数への影響，に ついて評価を行う．

ただし，本実験では，各ユーザは

3

種類の室内環境 データを所有するとし，表

2

のプライバシーの定義 のテーブルにおいて，全てのデータのプライバシータ イプを

“Privacy”

と設定した（この場合，表

3

のプ ライバシーポリシにおいて，

3

種類のデータについて 各ユーザの同意状況が記載される）．また，ユーザ数

（表

3

の

K

^{の値）は，}

1

，

5

，

10

，

30

，

50

と変化させ た．性能測定結果を表

4

に示す．

表4 アクセス制御の性能評価結果(msec) Table 4 Performance evaluation result of access con-

trol (msec).

データ数 ト ー ク ン の検証

プ ラ イ バ シー制御

ロ ー カ ル ク ラ ウ ド DBへの問 い合わせ

合計時間

1000 2.61 0.009 183.908 202.547

5000 2.12 0.019 1913.94 1930.42

10000 2.58 0.023 2996.85 3013.07

30000 2.64 0.024 5285.77 5498.27

50000 2.89 0.027 7399.16 7414.68

プライバシー証明書を使用した場合とトークンを使 用した場合の比較にあたり，まずプライバシー証明書を 利用した場合の検証時間を調べたところ，

33.469msec

であった．表

4

のトークンを利用した場合の検証時 間は

2.12msec

〜

2.89msec

であった．プライバシー証 明書の検証時間に比べてトークンの検証時間は

6%

〜

9%

ほどの時間であり，プライバシー証明書に比べて検 証時間を短縮し，スケーラビリティを確保することが できた．

スケーラビリティの観点からプライバシー制御の性 能がデータ数への影響を考えると，プライバシー制御 は，それぞれのデータ数においての合計時間に比べ て非常に短い時間で行っている．例えば，データ数が

50000

の場合は，合計時間の

7414.68msec

に比べて プライバシー制御は

0.027msec

と約

0.0004%

になり，

非常に小さい．同様に，他のデータ数の場合も非常に 小さくなっている．よって，プライバシー制御による アプリケーションからのデータ要求への影響はないと 考えられる．また，データ数

1000

のときはプライバ シー制御の時間は

0.009msec

であるのに対して，デー タ数

50000

のときは

0.027msec

であった．データ数 が

50

倍に増加したのに比べて処理時間は

3

倍しか増 加しておらず，データ数増加のプライバシー制御への 影響もほとんどないといえる．

4. 2 iKaaS

プラットホームの性能評価

本節は，タウンマネージメントアプリケーションを 想定し，ローカルクラウド

DB

に各種センサデータ と都市空間モデル情報を格納した場合の性能評価を行 う．センサデータは，室温，

PM2.5

，湿度，そして風 力である．そして，都市空間モデルは

CityGML

形式 のデータを

RDFDB

に格納した．センサデータのレ コード数は全て

1429

件であり，

CityGML

のレコー ド数は

122493

件である．また，センサデータの検索

表5 iKaaSプラットホームの性能評価結果(msec) Table 5 Performance evaluation result of iKaaS plat-

form (msec).

室温 外気温 湿度 風力 CityGML

(1) 9.8 7.7 8.0 7.7 8.7

(2) 161.1 132.8 118.4 139.1 1667.3

(3) 0.1 0.0 0.3 0.1 2656.4

は，結果が

1

件になるように期間を設定する．そして，

CityGML

の検索は，

16

棟の住宅の情報を

SPARQL

で検索するものとする．

アプリケーションから

iKaaS

プラットホームへデー タの要求があった場合の，

(1)

アプリケーションの要 求がグローバルクラウドに届いてからローカルクラウ ドへ要求を出すまでの時間，

(2)

ローカルクラウドへ 要求を出してから結果がグローバルクラウドへ返って くるまでの時間，そして

(3)

結果がグローバルクラウ ドへ返ってきてからアプリケーションへ結果を返すま での時間，についてそれぞれ計測した

(

表

5)

．

(1)

については，

7.7msec

〜

10.1msec

となり，ほぼ 一定の時間となった．これは，グローバルクラウド 上で特別な処理をしておらず，アプリケーションか らのデータをローカルクラウドへそのまま渡してい るためと考えられる．

(2)

は，センサデータについて は

118.4msec

〜

190.4msec

となり，ほぼ一定の時間と なっている．

CityGML

は

1667.3msec

と遅くなって いるが，これはローカルクラウド

DB

の

CityGML

の レコード数及び検索結果がセンサデータに比べて非常 に多いためと考えられる．

(3)

については，センサデー タが

0.0msec

〜

0.3msec

と非常に短い時間であるのに 対して，

CityGML

は

2656.4msec

と遅くなっている．

これは，グローバルクラウドのデータ処理の機能の一 つとして，

CityGML

のデータ変換があるためと考え られる．

5.

適 用 事 例

5. 1

コミュニティマネジメントサービス

近年，公民連携による，まちづくりや街の活性化の 取り組み

(

コミュニティマネジメントサービス

)

への 関心が高まっている．コミュニティマネジメントサー ビスは，個々人を対象とする「健康づくり」や「介護 予防・安否確認」から，地域コミュニティ全体を対象 とする「防犯・防災」，「コミュニティづくり」，エネ ルギーマネージメントまで幅広い．コミュニティマネ ジメントサービスは，これまで，ヒアリングやワーク

ショップ等により実施されてきたが，センシング技術 や

IoT

技術の進展により，提供方法が変化してきてい る．すなわち，小形で低価格なセンサ群から得られる 多様なデータをクラウド上に収集し，その上で提供さ れるデータ活用基盤を利用することにより，これまで より個々人にパーソナライズされたサービスや，蓄積 された多量のデータを活用した詳細な将来予測に基づ いたサービスの提供が可能になってきている．しかし ながら，これまでのサービスは，センサ，データベー ス，アプリケーションが垂直統合され，それぞれが独 立したサービスの集合体として構築，運用されてきた．

このような構築形態では，サービス間でセンサが取得 したデータの共有やサービス間の連携は難しく，パー ソナルデータなどのプライバシーに関するデータの利 用許諾条件の管理も複雑になる．また，データベース 構築費用等がサービスごとに発生するため，サービス 全体の総費用は高額になりがちである．国や組織の規 制や利用許諾条件を遵守したデータの利用を実現した

iKaaS

プラットホーム上でサービスを構築することに

より，個々のサービスからデータ管理を分離すること ができ，サービス間の連携も容易になる．本節では，

iKaaS

プラットホーム上に構築された幾つかのコミュ

ニティマネジメントサービスの事例について述べる．

5. 1. 1

アーバンデザイン支援サービスへの適用

アーバンデザイン支援サービスは，街の安全性をシ ミュレーションで検証するサービスである．例えば，

道路標識や通行車両，歩行者の見え方（危険察知）は，

視線の高さ，植栽の繁茂状況，路上駐車車両の状況に より大きく異なる．また，街路照明の照度，間隔，家 の立ち並び方，公園植栽の管理状況等により防犯上の 死角となる空間位置は変化する．このような道路上 の危険箇所や防犯上のウィークポイントは，これまで 過去の事例の分析でしか明らかにできなかった．過去 の事例をビックデータとして蓄積し，街の空間情報と 併せて解析を行うことにより，危険箇所を事前に推定 し，対策を講じることが可能となる．更に，

VR

技術 によって対策前後のシミュレーションを行い，危険箇 所や場面の体感的提示を行うことで対策に必要となる 合意形成を容易にできる．将来は，街づくりにおいて 事前にこれらのシミュレーションを行うことで安全な 都市設計に活用できる．

具体的には，対象となる街の空間モデルデータ，環 境データ，室内に設置されたセンサからのデータを使 用する．環境データは，気温や雨量といった気象情

図2 VRによるシミュレーション画面 Fig. 2 VR simulation screen.

報などのデータである．室内センサデータは，室内 の

CO2

や各部屋の電力量など，住人の行動に密接に 関係のあるデータである．使用する街の空間モデル データは，空間データの汎用的なフォーマットである

CityGML

形式で，環境データや室内センサデータは

数値形式で

iKaaS

プラットホームのローカルクラウド のデータベースに格納されている．ローカルクラウド のデータベースからこれらのデータを取得し，

VR

に より図

2

に示すように表示する．その際，

CityGML

形式のデータは，グローバルクラウド上のデータプロ セッシングで

VR

のデータ形式に変換され，サービス に提供される．環境データのようにプライバシーが問 題にならないデータは，そのままサービスに提供され るが，室内センサデータのようにプライバシーの問題 になるデータはローカルクラウドのセキュリティゲー トウェイで提供の可否がチェックされ，提供が許諾さ れたデータのみがサービスに提供される．データの利 用許諾の可否は，

iKaaS

プラットホームで行われるた め，サービスは利用許諾の可否を意識することなく，

安心してデータを利用できる．

5. 1. 2 Community Energy Management Sys- tem

への応用

個別の建物のエネルギーマネジメントを行う

Home Energy Management Service (HEMS)

を拡大し，再 生可能エネルギーを地域内で効率的に発電，消費す ることにより地域全体でのエネルギーを効率的な利 用を図る

Community Energy Management Service

(CEMS)

が次のスマートシティにおけるサービスの一

つとして注目されている．

CEMS

の実現には，家族構 成やライフスタイルによって変動する世帯・時間帯別 の電力消費量と，太陽光発電パネルによる電力等の時 間変動が大きい発電設備の発電量，蓄電池等の蓄電シ

図3 CEMSによる地域内の電力需給調整の概念 Fig. 3 Concept of electricity supply and demand reg-

ulation in region by CEMS.

ステムの蓄電量など多数の変動要因を踏まえた制御を 実施する必要があり，極めて複雑な動的最適化が求め られる．このような

CEMS

による電力需給調整の概 念を図

3

に示す．

この電力需給調整は，以下の流れにより行う．

•

各世帯の

Energy Management System (EMS)

から，電力利用状況データ（ライフログデータ）を収集

•

各世帯や地域に設置された太陽光パネルの発電 量データを収集

•

地域に設置された気象センサから気象データを 収集

•

気象データから当該地域のローカルな気象を 予測

•

ローカルな気象予測結果に基づき，太陽光パネ ルの発電量を予測

•

予測した発電量とライフログデータを組み合わ せ，蓄電池の充放電制御や電力消費のシフト依頼を 実行

ローカル気象予測は，

5.1.1

で述べた

iKaaS

プラッ トホーム上のサービスと連携して実現される．ライフ ログデータや世帯情報はプライバシー情報であり，セ キュリティゲートウェイで利用が許諾されたデータの みが使用される．

太陽光発電パネルの発電量の推計には，前述のロー カル気象予測と連携して実施するものであり，プラッ

トホーム上のアプリケーションの連携が可能である

iKaaS

の強みが発揮される．電力需給調整に必要とな

る各世帯の電力需要の推計，電力需給にかかるシミュ レーション等は，

iKaaS

プラットホーム上のデータ処 理モジュールを活用して行われ，その過程で得られた 電力需要の推計モデル等は「知識」として

iKaaS

プ ラットホーム上の知識ベースに格納され，再利用でき るようになる．

5. 1. 3

コミュニティマネジメントサービスにおけ

る要求分析と正当性の評価

これまで各サービスは，それぞれのサービスごとに データ収集，データ管理，データ利用（処理）を内包 している．これは，データ利用にあわせてデータを収 集，管理することでデータの利用目的を明らかにして きたためである．そのため，サービスの構築，運用の 費用や時間は増大し，複数のサービスに共通したデー タといった無駄が存在していた．データ利用からデー タ収集，データ管理を分離するためには，データの利 用目的に応じてデータの利用を許諾する必要がある．

ikaaS

プラットホームは，データを収集，管理してい

るローカルクラウドにセキュリティゲートウェイを導 入することにより，データの利用許諾を制御している．

これにより，データ収集，データ管理をサービスから 切り離し，各サービスで共有して利用することを実現 している．コミュニティマネジメントサービスの各例 で示したように，データの利用だけを開発すれば良 くなり，データ収集，データ管理をサービスごとに構 築する必要をなくすことができている．これにより，

サービス構築，運用に関わる費用や時間の大幅な短縮 を実現できる．

アーバンデザイン支援サービスや

CEMS

の例で述 べたようにプライバシー情報が含まれる可能性の高い 屋内センサのデータやライフログデータは，セキュリ ティゲートウェイを経由して取得することで法制度や 利用許諾に沿ったデータの利用が実現できている．

5. 2

健康支援サービス

高齢者は身体不活動が主な原因となって生じる要介 護やサルコペニアなど特有の健康問題を抱えている．

更に，近年の地域コミュニティの衰退化に伴い，高齢 者の独居化が進行し，高齢者の孤独死や引きこもりの 問題が大きな社会問題としてクローズアップされてい る．特に，東日本大震災のような大規模災害後は，コ ミュニティの破綻により，引きこもり高齢者が増加す ることが知られている．

高齢者の独居化が進むコミュニティでは，引きこも りがちや身体的に不活発な高齢者に対して，定期訪問 などの行政サービスで見守り支援が行われている．し かし，これらのサービスの基本は自宅訪問による聞き 取り調査であり，普段の活動状況を正確に把握するこ とは難しい．このような問題を解決するため，ウェア ラブルデバイスをはじめとする各種センサ群を利用し て高齢者の見守りを行う健康支援サービスを行う．

現在，ヘルスケア分野において，センサやデバイス の小形化と現代人の健康志向とが相まって，非常に多 種多様なウェアラブルデバイスが市場に展開されてい る．これらのデバイスの多くは，内蔵されている加速 度センサ等により，個人の身体活動量や運動量，睡眠 の質を測定することができ，特に生活習慣病の予防・

管理を目的に用いられている．

本サービスは，

iKaaS

プラットホームの利点を生か し，分散クラウド上に蓄積されている各種センサデー タを同時系列上に連結させることで，活動量データと 室内環境データとの対応関係をモデル化し，室内環境 の状況から高齢者本人の活動量を予測することが可能 となる．また，

IoT

技術を用いて多様なセンサデバイ スを統合利用できる利点を生かし，以下のような特徴 をもつ．

•

ウェアラブルセンサなどのデバイスの装着に問 題がない高齢者に対しては，ウェアラブルセンサや室 内環境センサによって連続的に測定された健康情報の 時系列データに基づいて活動パターンを分類し，身体 的に不活発な高齢者を自動抽出する．

•

デバイスの装着し忘れなどデバイスの装着に関 するコンプライアンスが問題となる高齢者に対しては，

ウェアラブルセンサではなく環境センサを用いること によって，高齢者の活動量や生活パターンを把握する．

5. 2. 1

睡眠支援サービスへの適用

iKaaS

プラットホームによるウェラブルデバイス及

び室内環境センサを利用した健康支援は，睡眠支援 サービスにも応用できる．多くの場合，海外渡航は個 人にとって非日常であり，睡眠は悩みの種となる．こ ういった場合，データとして蓄積された日常を海外へ もっていくことで，現地の室内環境に日常の睡眠環境 を再現させることで睡眠に関する悩みは軽減される可 能性がある

(

図

4)

．本サービスは睡眠環境提供サービ スとモニタリングサービスの二つの機能で構成され る．睡眠環境提供サービス機能では，利用者が海外の ホテルで宿泊する際に，快適に睡眠を取るための環境

図4 睡眠支援サービスの概念図

Fig. 4 Conceptual diagram of sleep support service.

を提供する．モニタリングサービスでは，快眠環境か を室内環境センサや活動量計で確認し，管理者権限に よる特殊制御により調整する．また，ホテルの室内環 境の異常を検知し，警告若しくは緊急対応の実施や，

健康状態の異常を検知し，警告若しくは緊急対応を実 施する．

5. 2. 2

健康支援サービスにおける要求分析と正当

性の評価

室内環境センサや活動量計のパーソナルデータは，

プライバシー情報であるため，厳密な管理が必要とな る．

iKaaS

プラットホームのセキュリティゲートウェ イを経由することで，使用者の許諾に応じてデータの アクセス権限を設定することが可能なので，パーソナ ルデータなどのプライバシーに関する情報の利用許諾 を厳密に管理することができる．

更に，パーソナルデータの取得・利用は，パーソナ ルデータ提供者からの同意の下で実施されなければ ならない．そこで，本健康支援サービスは，

iKaaS

プ ラットホームを利用したパーソナルデータの利活用に 沿ったパーソナルデータの取得・管理を運営する枠組 みを実現した．具体的には，

iKaaS

プラットホームを 管理・運営，利用する組織だけでなく，パーソナルデー タ提供者の代表者を含めたマルチステークホルダー・

プロセスによる同意の取得手続きをプロジェクト内で 定め，

(1)

参加同意文書・利用申請書のドキュメント 作成，

(2)

プライバシーポリシの作成，

(3)

データ利用 及び管理の透明性の確保を実現している．

6.

^{む す び}

本論文では，プライバシーに配慮した

IoT

向け情報 集約基盤である

iKaaS

プラットホームのアーキテク

チャ設計と適用事例について紹介した．具体的には，

iKaaS

プラットホームアーキテクチャと構成要素につ

いて，セキュリティとプライバシーを中心に述べた．

また，アクセス制御とプラットホーム全体の性能評価 を行い，

iKaaS

プラットホームの有用性を示した．更 に，

iKaaS

プラットホームの適用事例として，コミュ ニティマネジメントサービスと健康支援サービスにつ いて述べ，要求分析と正当性の評価を行った．

iKaaS

プラットホームを利用することで，データ収

集，データ管理をサービスから分離し，サービスごと にデータの利用方式のみを開発すれば良くなり，デー タ収集，データ管理をサービスごとに構築する必要が なくなる．更に，国や組織の規制や利用許諾条件を遵 守したデータの利用を実現することができる．

現在はアプリケーションベースの知識をプラット ホーム上で扱っているが，今後は分析結果などを知識 としてプラットホーム上で利用できるようにする．更 に，データのオーナシップをもとにした利用許諾の遵 守は実現できているが，知識に対するオーナシップは 実現できていない．知識のオーナシップを計算で求め ることは可能だが，知識を創出するために使用した データやアルゴリズムのオーナの意向を全て反映した オーナシップになるとは限らない．この問題は，本研 究開発とは別の問題であるが，法制度の整備状況と合 わせてシステム的な支援の可能性について検討してい く必要がある．

謝辞

The work is supported by the collaborative European Union and Ministry of Internal Affairs and Communication, Japan, Research and Innova- tion action: iKaaS. EU Grant number 643262.

文 献

[1] EU FP7/ICT project 257115, “OPTIMIS: Optimized Infrastructure Services,” June 2010–May 2013.

[2] EU FP7/ICT project 287708, “iCore: Internet Con- nected Objects for Reconfigurable Eco-systems,”

Oct. 2011–Sept. 2014.

[3] Article 29 Data Protection Working Party, Opinion 8/2014 on the on Recent Developments on the Inter- net of Things, 2014.

[4] A. Bantouna, G. Poulios, K. Tsagkaris, and P.

Demestichas, “Network load predictions based on big data and the utilization of self-organizing maps,”

Springer J. Network and Systems Management, vol.22, no.2, pp.150–173, April 2014.

[5] T. Robles, R. Alcarria, D. Martin, M. Navarro, R.

Calero, S. Iglesias, and M. Lopez, “An IoT based reference architecture for smart water management

processes,” J. Wireless Mobile Networks, Ubiquitous Computing, and Dependable Applications (JoWUA), vol.6, no.1, pp.4–23, March 2015.

[6] J.L. Hernandez-Ramos, A.J. Jara, L. Marin, and A.F.

Skarmeta, “Distributed capability-based access con- trol for the Internet of things,” J. Internet Services and Information Security (JISIS), vol.3, no.34, pp.1–

16, Nov. 2013.

[7] EUのデータ保護一般規則（General Data Protection Regulation，GDPR），http://ec.europa.eu/justice/

data-protection/reform/files/regulation oj en.pdf [8] J. Poncela, P. Vlachea, R. Giaffreda, S. De, M.

Vecchio, S. Nechifor, R. Barco, M.C. Aguayo-Torres, V. Stavroulaki, K. Moessner, and P. Demestichas,

“Smart cities via data aggregation,” Springer J.

Wireless Personal Communications, vol.76, no.2, pp.149–168, May 2014.

[9] P. Vlacheas, R. Giaffreda, V. Stavroulaki, D.

Kelaidoni, A. Somov, V. Foteinos, G. Poulios, A.R.

Biswas, K. Moessner, and P. Demestichas, “Enabling smart cities through a cognitive management frame- work for the Internet of things,” IEEE Commun.

Mag., vol.51, no.6, pp.102–110, June 2013.

[10] EU FP7/ICT project 609094, “RERUM: REliable, Resilient and secUre IoT for sMart city applications,”

Sept. 2013–Aug. 2016.

[11] H. Meer, H.C. Pohls, J. Posegga, and K. Samelin,

“On the relation between redactable and sanitizable signature schemes,” Proc. 6th International Sym- posium (ESSoS 2014), Munich, Germanym, LNCS, vol.8364, pp.113–130, Feb. 2014.

[12] S. Faye, N. Louveton, G. Gheorghe, and T. Engel, “A two-level approach to characterizing human activities from wearable sensor data,” J. Wireless Mobile Net- works, vol.7, no.3, pp.102–110, Sept. 2016.

[13] Japan, “Act on the protection of personal informa- tion,” Act No.57 of May 30, 2003.

[14] EU, Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the pro- tection of individuals with regard to the processing of personal data and on the free movement of such data, 1995.

[15] EU HORIZON 2020 project 643262, “iKaaS: intelli- gent Knowledge-as-a-Service,” Oct. 2014–Sept. 2017.

[16] SOCIOTAL (オ ン ラ イ ン), 入 手 先〈http://sociotal.

eu/〉(参照2017-08-11)．

[17] OCEAN (オ ン ラ イ ン), 入 手 先〈http://www.ocean- project.eu/bin/view/about/Japanese〉(参照2017-08- 11)．

[18] ClouT (オンライン),入手先〈http://clout-project.eu/

jp/〉(参照2017-08-11)．

[19] S. Hidano, S. Kiyomoto, Y. Murakami, P. Vlacheas, and K. Moessner, “Design of a security gateway for iKaaS platform,” Proc. 6th EAI International Conference on Cloud Computing (CloudComp 2015),

Daejeon, South Korea, LNCS, vol.167, pp.323–333, Oct. 2015.

[20] S. Hidano, A.R. Biswas, and S. Kiyomoto, “Hierar- chical privacy CAs for cross-border transfer of per- sonal data,” Research Briefs on Information & Com- munication Technology Evolution (ReBICTE), vol.2, no.2, pp.1–12, July 2016.

[21] S. Kiyomoto, T. Nakamura, H. Takasaki, R.

Watanabe, and Y. Miyake, “PPM: Privacy policy manager for personalized services,” Security En- gineering and Intelligence Informatics, pp.377–392, 2013.

（平成29年4月24日受付，8月14日再受付，

9月29日早期公開）

内林 俊洋

2011年九州産業大学大学院情報科学研 究科情報科学専攻博士後期課程単位取得退 学．同年，九州産業大学情報科学部助手．

現在，東北大学電気通信研究所教育研究支 援者．クラウドコンピューティング技術等 の研究に従事．博士(情報科学)．

門間 陽樹

2011年に東北大学大学院医学系研究科 障害科学専攻にて博士(障害科学)を取得．

現在，東北大学大学院医工学研究科健康維 持増進医工学分野助教．専門は運動疫学，

スポーツ疫学．日本運動疫学会学術委員，

セミナー委員．運動・スポーツ分野での疫 学的研究手法の普及に従事している．

新城 龍成

2004年宮崎大学大学院工学研究科土木 環境工学専攻博士前期課程修了．現在，国 際航業（株）事業開発本部開発部グリーン・

コミュニティ推進グループ(兼)技術サービ ス本部東北支社企画グループ．新規事業開 発，都市計画，まちづくり，コミュニティ マネジメント，再生可能エネルギー等の業務に従事．技術士(建 設部門：都市及び地方計画)，測量士，修士(工学)．

久保 孝嘉

1993年茨城大学理学部地球科学科卒業．

現在，国際航業（株）技術サービス本部地 理空間基盤技術部主任技師．国及び地方 公共団体向けの地理空間情報の仕様検討，

データ整備等の業務に従事．技術士(応用 理学部門：地球物理及び地球化学)，測量 士，空間情報総括監理技術者．

橋 祐一

1992年東北大学大学院理学研究科天文 学専攻博士課程単位取得後中退，同年日立 東北ソフトウェア(株)入社．現在，(株) 日立ソリューションズ東日本ビジネスイン キュベーション部主管研究員．クラウドコ ンピューティング，センサネットワーク等 の研究に従事．博士(工学)．

加藤 尚徳

2014年総合研究大学院大学複合科学研 究科情報学専攻博士5年一貫課程単位取 得満期退学．現在，(株)KDDI総合研究所 フューチャーデザイン1部門3グループ アソシエイト．プライバシー・パーソナル データ保護・知的財産法等の調査研究に従

事．修士(情報学)．

披田野清良

2012年早稲田大学理工学術院基幹理工 学研究科博士後期課程修了．2010年日本 学術振興会特別研究員．2011年早稲田大 学理工学術院基幹理工学部助手．2013年 KDDI(株)入社．現在，(株)KDDI総合研 究所情報セキュリティグループにて，暗号・

認証システム及びプライバシー保護技術の研究開発に従事．博 士(工学)．

菅沼 拓夫 （正員）

1997年3月千葉工業大学大学院博士後 期課程修了．博士(工学)．同年東北大学電 気通信研究所助手．同大学助教授，准教授 を経て，2010年から東北大学サイバーサ イエンスセンター教授．エージェント指向 コンピューティング，共生コンピューティ ング，新世代ネットワーク管理等の研究開発に従事．

樋地 正浩 （正員）

1986年山形大学理卒．同年，日立東北 ソフトウェア（株）（現（株）日立ソリュー ションズ東日本）入社．1997年東北大大 学院情報科学研究科システム情報科学専攻 博士課程修了．博士（情報科学）．2005年 より東北大学会計大学院教授．リスク管理 モデル，経営意思決定支援技術，ゲーミングシミュレーション の研究開発に従事．電子情報通信学会，情報処理学会，ソフト ウェア科学会，IEEE各会員．

橋本 和夫 （正員）

1953年9月22日生．1979年東北大 学大学院修士課程修了．同年国際電信電話 (株)入社．2001年KDDI米国研究所所 長．2006年東北大学大学院情報科学研究 科教授．2014年より早稲田大学研究戦略 センター教授並びに国際航業(株)技術顧 問．人工知能技術の基礎研究並びに社会応用に従事．電子情 報通信学会，情報処理学会，人工知能学会，AAAI，IEEE各 会員．

清本 晋作 （正員）

2000年筑波大学工学研究科物質工学専 攻博士前期課程修了．同年KDD(株)入社．

現在，(株)KDDI総合研究所情報セキュリ ティグループグループリーダー．ストリー ム暗号，暗号プロトコル，プライバシー保 護技術等の研究に従事．日本物理学会会員．

2008〜2009年，London大学Royal Holloway校客員研究員．

2004年本会学術奨励賞，2016年本会業績賞，各受賞．博士 (工学)．