LINE and Intertrust Security Summit 2018, Autumn参加レポート

セキュリティ室の市原です。

今回は、2018年10月29日(月)にローマ(Museo de Arapacis)で開催された
“LINE and Intertrust Security Summit 2018, Autumn”について、幾つかのスピーチやパネルセッションをピックアップして報告します。

Website: https://www.intertrust.com/company/events/2018-fall-line-summit/

ハイライト映像: 

1. 概要

このサミットは、LINEとIntertrust社の共同主催で、毎年2回開催しています。

今回のテーマは『PREPARING FOR THE DATA-DRIVEN FUTURE』として、
本格的なデータ中心時代を迎えるにあたっての課題、GDPR施行後の最新課題、などについて共有と議論をする機会と位置付けました。

 

来場されたお客さまも、イタリア、ドイツ、フランス、スウェーデンなど欧州の他、米国、台湾、日本から
企業のCEO、Founder、CISO、Director、Manager、Product Officer、PrivacyOfficer、
また大学の教授や学生も含めて、世界中から約80名の方が参加していただきました。

以下は主な参加企業及び大学です。

ルイス大学(イタリア)、保険サービス企業 Munich RE(ドイツ)、大手エネルギー系会社のInnogy社(ドイツ)、ブロックチェーン系アプリプラットフォーム提供会社 CryptoWerk社、医療系スタートアップ企業 TilaK社(フランス)、デジタルTVプラットフォーム企業Tivu’ srl(イタリア)、携帯通信向け設備会社 Cellnex社(イタリア)、Chalmers大学(スウェーデン)、アプリベンダー Jscrambler(米国)、フィリップス社(米国)、Uber Eats(米国)、omnitech社(米国) Modo Networks(米国)、等

2. サミットの内容

中山剛 (LINE株式会社 CISO) : Keynote Speech

1: Being a Data Company

2018年現在、モバイル、仮想化、クラウド、ビッグデータ、IoT、そしてAI(人口知能)といったテクノロジーが凄まじい勢いで会に浸透し、あらゆる産業分野に「デジタルトランスフォーメーション」が起きている。
そしてその中心には、「データ」があり、その価値は上昇し、現代は「データの新しい時代(New Era of DATA)」と呼ぶにふさわしい。

企業は、ユーザに新しいユーザ体験として還元するために、より多くのデータを獲得・収集しようとしています。
つまり「データカンパニー」になることを目標としています。
これは、GoogleやFacebookなどのプラットフォーマーに限らず、
例えば、自動車会社、鉄道会社、製薬会社、電化製品メーカなど、業界やジャンルに関係なく
あらゆる企業が「データカンパニーになりたい」と思っています

2: The Times Have Changed

セキュリティ研究者として著名な、ブルース・シュナイアー氏(Bruce Shneier)が
最近の著書『超監視社会(Data an Goliath)』の中で次のように述べています。

時代は変わったのだ (The Times Have Changed)

1970〜80年代、私達の家庭にはテレビがあり、切符で乗車する電車があり、
電話がありました。でもそこには「データ」はなかった。
企業は、データを取得する手段も装置も持ってなかった。

でも今はどうか?

私が新宿で働いていて、日曜日には、家で映画を見ながらワインを飲むのが好きだということを、どこかの企業は知っているかもしれない。

企業はデータを通じて個人の情報、プロファイル、趣向、生活の様子などを分析したり推測できるようになってきた。

こういう時代になり、人々は徐々にプライバシーを気にしはじめている。
企業側はというと、データの正しい扱い方ができるほど成熟していない。
それにも関わらず、企業は以前よりもっと多くのデータを獲得しようと躍起になっている。
このような危険な状態に対する警告も含めて、シュナイアー氏は、「時代は変わったのだ」と語ったのだ。

3: Data and Privacy

インターネット時代に入ってからのデータとプライバシーにまつわる事件は近年、顕著に増えている。

2011年 忘れられる権利の裁判
2013年 エドワード・スノーデン
2016年 Apple vs FBIの事件
2018年 Facebookのデータ漏洩事件

このような時代に、GDPRが施行されたことも2018年は象徴的な年だったといえる。

4: LINE x Privacy

LINEは、プライバシーを5つの要素に分解して理解し、3つのアプローチで取り組んでいる。※詳説は、LINE株式会社チャン・ルーマン氏の講演を参照

(1) Right to be informed(知らされる権利)
(2) Right to choose your state(あなたの状態を選択する権利)
(3) Personal data protection(個人情報の保護)
(4) Right to control your personal data(あなたの個人情報をコントロールする権利)
(5) Free expression without interference(介在なき表現の自由)

アプローチ1: Compliance
アプローチ2: Outreach
アプローチ3: User Empowerment

これからもLINEのスローガンである「CLOSING THE DISTANCE」を目指していきたい

ご静聴ありがとうございました。

映像(YouTube)

Talal Shamoon (Intertrust CEO): Keynote Speech

1: Data is everywhere

今日の講演で話したいのは、間も無くやってくる「データオーナーシップ戦争」(※)の話だ。
※個人から獲得したさまざまなデータのオーナーは本来その個人であるが、獲得した後のデータ利用のコントロール権が企業側に移ってしまい、
実質的に企業がそのオーナーシップを握ってしまう懸念とそれにまつわる争いを示す。

我々が今日見ているこの世界が5年前と同じだと思う人はいないだろう。
「 データはどこにでもある(data is everywhere)」世界になったということだ。

「我々のプライバシーの価値とはいくらだ?」という問いに対して
「Facebookの時価総額と同じだ」と答える人もいるかもしれない。

2: Things happening for these years

過去2年間くらいを振り返るだけでもいろんな事件が起きた。

(1) データスキャンダル
データ漏えいだけでなく、フェイクニュース、選挙の情報操作、、。
データの脅威によって世界が「ロック状態」にかけられている

(2) GDPR
個人だけでなく、企業の心臓部に、データを持つ事の恐怖を植え付けた。

(3) データがもっと使えるようになった 
今やGoogleは、私達の事をなんでも知っていて、次に何をするかも予測したり提案したりできる。
一方、本当に恐ろしい事が起きることは紙一重と言える。

(4) IoT
膨大なセンサが色々なデータプラットフォームにデータを流すようになり、
生活がますますよくなるだろう。

データを安全に正しく扱い、標準化された手順で管理ができる人もいない現在、
「データオーナーシップの問題」はより深刻化するだろう

昔は、インターネットというのは、データの巨大なバケツのようなもので、
タダで流れ続ける泉か水道水のようなものだと考えていたが、
この考え方は今や賢い考え方ではなくなっている。

3: Data is the window of our life

人々はこれからもデータをトレード、シェアする事になるだろう。
データは生活を便利にするために必要で、窓のような存在だ。

様々な「変化」について考えてみた。

プライバシーの変化。社会活動としての情報の取り扱い方の周辺にはポリシーがあり、
そのもとにプライバシーの考えがある。これらが現在のインターネットとどう関連していくのか?
Data being everywhere を考えさせられる。

また、こういう状況にたいする対抗的リアクション(counter reaction)の危険性も考えた。
(データの還元によって)非常に便利な生活環境が生み出され
我々はこういう環境を必然的に自然に使っていく事になるだろう。
そしてこれらを「リセット」することや、後戻りすることはもはや出来ない状況になるだろう。

そこで我々は(享受される環境を受け入れつつも、そのようなデータ管理環境に対する)
付加的なソリューションをどのように実装するか」がむしろ重要だと考えている。
今日はこのような観点のプレゼンがいくつか聞けるだろう。

4: Data and its accountability

2018年5月にGDPRが施行された。極めてシンプルだが非常に重たいものだ。
将来、GDPRのような規制が浸透していけばGoogleやFacebookで起きていた事を思い出させるだろう。

GDPRの原則をシンプルに述べると次の通り。
(1) 明示的な許可がない限り、人々の監視・追跡しないこと
(2) データを扱う際は、人々の権利と自由を考慮にいれること

この原則の(1)は、直感的で理解しやすいが、(2)は思想的な側面があり、
西洋の民主主義がベースになっている。(我々には)馴染みにある概念とも言えるが、
そう感じない国や地域もあるかもしれない。
それでも、世界の何処かでプライバシーが侵害されている人は
誰でも「それはダメだ」といえる概念が必要
だ。
誰かのデータを扱う人には、その行動に対する説明責任(accountable)があるからだ。

ご静聴ありがとうございました。

映像(YouTube)

講演 Camron Briggs (Origin Energy)

タイトル:Disrupting HR – digitalizing the employee – employee relationship

内容

Origin Energyは、2000年以降に設立された豪州のエネルギー会社です。

オーストラリアは政府主導で提供するエネルギーと、民間で製造したエネルギー売買エコシステムの両方が共存している。つまり、政府が設備投資した原子力発電所を稼働させて、発生したエネルギーを企業や一般家庭まで有料で提供して投資回収するモデルです。

一方、太陽光発電や風力発電などの新しいエネルギー生産システムが台頭している。
Origin Energyは、Peer-to-peer型のエネルギー提供システムを提供していて、一般家庭にも卸値価格で提供されている。

例えば、一般家庭のソーラーシステムで過剰に電力が作られた場合には、他の一般家庭などがそれを利用することで料金は,その家庭に支払われることになる。

このようにインフラ提供の仕組みがトップダウン的ではないので、エネルギー価格の決定方法も投資回収型のようなものとは異なり、分散型ネットワークシステム上の市場バランスによって決まる仕組みになっている。

映像(YouTube)

講演 Roland Hess (innogy, head of transformation)

タイトル:Disrupting HR – digitalizing the employee – employee relationship

内容

1: Truly relevant or not?

エネルギー会社におけるトランスフォーメーションの話をしたいが、
その前に、組織の話をしたい。

組織の2/5は、”積極的に会社への忠誠心がない”人だと言われている。
組織のリーダーが最も信用すべき人は、truly relevant(真の意味で妥当)な人だ。
では、こういう人をHRのデータベースから判別できるだろうか?答えはノーだ。
これまでは直感に頼ってきただろう。しかし直感というのはスケールしないものだ。
そして何故、過去のデータに頼れないのだろう?
感覚、経験、意思決定のプロセス、掴み取るのが難しく、複雑で、目に見えないからだ。

そして大事なことは、今から10〜20年後に、その組織のリーダになるのは、今の20〜30代の人であり、
今のリーダクラスの人ではないからだ。

2: Digital transformation in energy industry

実はこの問題は、エネルギーのデジタルトランスフォーメーションの話にもあてはまる。
我々は「2020年には従来型の設備投資型のビジネスモデルは死ぬ」という事がわかっている。

2018年3月のある日の電気料金をマイナス21ユーロと表現する。
これは、人々が我々に金を払ってエネルギーを入手していることになる
近い将来、電子が作られて消費者に運ばれること自体は無料になる。
エネルギーの価値は電子そのものではなく、そのまわりの「情報」になるのだ。

デジタル社会のなかでは、プロトタイプ開発、カスタマー中心に考え、
すぐに何かを学ぶこと、が当たり前だ。
でも、従来型の核施設をベースとした仕組みでは、プロトタイプなんて出来ない。

我々のチャレンジは、
「どのように価値を変えていけるか?」であり、それは
「過去の経験とは本質的に全く異なるもの」であることだと考える。
そしてこれは(ビジネスや組織における)「文化」そのものを変えることと同等だ。
「文化」とは、「あなたのモノの考え方そのもの」を表し、具体的な振る舞いとして見える形になる。

しかし組織には、チャレンジを邪魔するメンタルモデルがあり、
それが生むある種の文化が存在する。そのようなメンタルモデルには
以下の4つの種類があることがわかっている。

1: 重要なフィードバックをしない
2: 自分が所属する部門/業務の最適化をしない
3: 見られている時だけちゃんとする
4: 方向性を常に上に問う

我々は、今、毎日、データをオンラインで獲得して、組織の健康状態や
やる気などを把握し、ノイズも理解した上で、自分自身の行動の変化が
どう影響したかをすぐにわかる状態にしている。つまり見える化しているのだ。

そして文化を変えるために最も大切なことはリーダ自身が変わることだ。なぜなら、
マネージャーやリーダーこそ、従業員と会話をする際に、relevantであるべきだからだ。

1年に1度のようなことでは意味がない。毎週1%ずつでも続けることだ。 

あなたはどう変われるだろうか?

資料ダウンロード 
映像(YouTube)

講演: Dave Maher (Intertrust, CTO)

タイトル:From Enigma to Facebook: A Brief History of Security Tech

資料ダウンロード

内容

今日は、計算機とセキュリティの歴史の話と、”what drives innovations”のテーマについて話したい。

概して研究活動というのは、社会的な「必要性(necessity)」から成長するものであるが
セキュリティというのは戦争の歴史にみられるように「生き残る(survival)」という目的から成長してきた。

1: History of computation model

第二次世界大戦の時代、戦争のために安全な通信システムが必要だった。

当時、エニグマという技術がドイツで発明された。
計算機モデルがベースになっていて暗号が破られ敗戦にも影響したが、
現代の計算機モデルやセキュリティの概念に大きな影響を与えている。

他にもSIGSALLYという本当に初期の電子的通話システム(セキュアコミュニケーションではないが)があった。

COLD WARの時代。
システムの多くの部分が“Mechanized”(機械化)されたこともあり
当時は、”スケーラブルな(大量生産できる)セキュアシステム”という強い要件があり、研究と開発が進んだ。

時代はまだアナログのままだったが、この頃、(その後のDSAやRSAのように)同じ鍵を持たずに暗号と複合を実現する非対称鍵暗号(数学的なモデルがベースになった)が生まれ、これは数百万台の端末の鍵管理をするのにも効果的で、スケールしやすいものだった。この仕組みの原理は1983年に開発され、その後1990年代以降に商用利用として発展した。

現在。あらゆる場所にセンサがあり、ハイパーコネクテッドなネットワーク環境があり、環境はまったく変わった。
しかし今でも基本は1990年代当時の基礎技術がほとんどのベースとなってるが、計算機モデルは「データの統制」を前提にしたものに変わりつつある。

2: Survival drives innovation

では現代、セキュリティの研究を後押しする「生き残る(survival)」というニーズは何か?

あらゆるモノがコンピューターになりネットに繋がり、
ネットワークやコンピューターもサーバも仮想的な存在になり、
クラウドを通じてつながっている。

一発で全てのデータやネットワークを吹っ飛ばすボタンだろうか?
(今や、これを実現する方法も無数に知られている。笑い話になりそうだが、深刻な話でもある)

問題は、これまでに開発した多くのセキュリティシステムは「安全なコミュニケーションのため」だった。

今はデータの時代で、これにまつわる問題解決のために、過去の伝統的セキュリティ技術だけで解決ができないと考えるべきだ。

3: Data and Function

Google, amazon, Facebok, Apple (いわゆるGAFA)は、保有するデータは分散配置していても、データもアプリも中央管理型にしている。
個人と企業のデータ保護という側面でこれは大きな問題だ。

この問題に対処するため、「自分のデータは自分で統制する」というコンセプトに立った幾つかの研究プロジェクトがある。ただ人々は「自分でマニュアル操作して自分のデータを統制したい」なんて、時間も必要だし、そんな事をしたいなんて思っていない。そこで、それを解決するために「personal agentの導入」という構想を進めている。

例えば、アプリと独立した監視アプリを仕込みその中にAI処理を導入し、アプリのデータをサードパーティが取得する際に、そのagentが補助的な役割をして、データアクセスの統制を助ける

(データプラットフォームサービスを提供する)我々Intertrustとしては、このような「データ処理レイヤへのAI導入」が将来必要だと考えている。

誰かにやってもらう必要なくなり、真の意味での「データを利用可能」にするための解決手段だと考えていて、研究を進めている。

4: Survival of Human race?

最後に、ちょっとした思考実験をやって講演を終わりにしたいと思う。

将来、想像もしないようなあらゆる場所に仮想的なローミングが行われ、医療機器が身体じゅうに仕掛けられ、血流を監視したり統制する、、
そんな未来は現実的にやって来るかもしれない。そこに、地球外生物がやってきたとしよう。

彼らは人間、センサー、コンピューターシステムを正しく見分けられるだろうか?
人間の細胞や脳の動きと、現代のハイパー・コネクテッドなデジタル世界は、非常に似ている。
人類と同種の生き物だと思うかもしれないし、1つのワームと見るかもしれない。
もうすぐそんな未来がやってくるかもしれない。

ご静聴ありがとうございました。

映像(YouTube)

講演 Tomas Sander (Intertrust, Data Protection Officer, Senior Research Scientist)

タイトル:Going Mainstream: Privacy by Design

内容

1: Privacy Standard

まずプライバシー・バイ・デザイン(PbD: Privacy by Design)の考え方と、関連する幾つかのスタンダードについて触れていきたい。

  • プライバシー7つの原則   参考: http://www.soumu.go.jp/main_content/000196322.pdf
    • (1) 事後的ではなく事前的 / 救済的策でなく予防的(Proactive not Reactive; Preventative not Remedial)
    • (2) 初期設定としてのプライバシー(Privacy as the Default)
    • (3) デザインに組み込まれるプライバシー(Privacy Embedded into Design)
    • (4) 全機能的 — ゼロサムではなく、ポジティブサム(Full Functionality – Positive-Sum, not Zero-Sum)
    • (5) 最初から最後までのセキュリティ – すべてのライフサイクルを保護( End-to-End Security – Lifecycle Protection)
    • (6) 可視性と透明性 — 公開 の維持(Visibility and Transparency)
    • (7) 利用者のプライバシーの尊重 ~ 利用者中心主義を維持する( Respect for User Privacy)

  • NIST Privacy Frameworkhttps://www.nist.gov/privacy-framework
    • NISTのCyber Security Frameworkの成功からプライバシー分野に拡大したもの。2018年より本格的に議論と開発がスタート。

但し、これ自体がGDPRに対応できるというものではなく、あくまでもこれをリファレンスとして
国家のポリシーや法案などに基づいて適切なデザインをすることが必要であるとのことでした。

2: Data Protection by Design (DPbD)

企業がサービスを開発する上で、データ・プロテクション・バイ・デザイン(Data Protection by Design= 以下、DPdB)を実現するやり方を紹介したい。

  • レビュー用テンプレート: DPdBで用いるレビュー専用テンプレートを作成しておき、データプライバシー保護の設計段階の評価ができるようにする。
    そこで発見された問題やリスクを低減していけるように、その後の工程でも追跡できるようにしておく。
    • (1) サービスの概要
    • (2) サービス仕様
    • (3) 収集するデータの種類
    • (4) データフローダイアグラム
    • (5) 目的

DPbDを始めたばかりの企業ならシンプルなチェックリスト型からすすめることになると思うが、
このやり方の場合、見逃してしまったり、洗い出し作業で登場してこないリスクがあるかもしれない。
例えば、フィットネスアプリの例で、ランニングした場所を記録しておける機能があるが、利用者の
ランニングした場所が、中東の軍事施設内であったり、特殊な病院施設であったり、プライバシー的に
センシティブな情報をその企業に提供してしまう可能性があったりする。

3: Risk Assessment ~ for identifying all possible risks of data privacy

これを回避するために、予め定義されたプライバシーの種類(taxonomy of privacy)から
ユーザに起こりうる様々な種類のプライバシー違反について、”自明なもの”というよりも、
むしろシステマティックな方法でやっと見つかるようなリスクを見つけていく作業、すなわち
プライバシー観点での脅威分析とリスク評価(Risk Assessment)を行うことだ。

これがとても重要だ。リスク評価は次のアプローチが採用される。

  • Automated decision making with significant effects
  • Systematic Monitoring
  • Combining data sets
  • Sensitive Data
  • Large scale processing
  • Innovative users / New technologies

この作業は、プライバシー専門家とあわせて、(プライバシーへの理解がある)セキュリティ系エンジニア

の両者の視点からのレビューが重要で、これを通じて”可能性のある全てのプライバシーリスク”を
洗い出して識別しておく。

簡易なチェックリストでは、概ね良好なレビュー結果だったとしても、プライバシーの種類などの
ノウハウと脅威分析を通してリスク評価すると、追加的なリスクが見えてくることがある。

例えば、”exclusion”という種類のプライバシー違反をあげる。

あなたの企業がこれから、ターゲティング広告のサービスを開発するとする。

もしそのターゲット広告が、より多くの男性ユーザに対して広告配信をして、
女性のユーザに対しては、あまり広告を出さないケースが発生したとする。
これは、「職業に関する差別問題のリスク」をはらんでいる。通常のプライバシーリスクと
逆のケースだが、これは、”exclusion”というプライバシーリスクで分類される。

もちろんこのような脅威分析やリスク評価は、チェックリストに比べてハードワークだ。

4: Transparency of Privacy

DPbDでは、「プライバシーの透明性」について考慮された設計がされているか確認する。

例えば、ユーザは、企業側のプライバシープラクティス(適切なデータ操作、等)について
ちゃんと知らされているか?適切に同意が得られているか?などの観点だ。
これからは次の2つの観点からレビュー、評価されることになる。

(1) UI(フロントエンド)

フロントエンド側として、ユーザに対してわかり易く、正確な情報が提示されたり、
規約を読ませたり、同意させたりといったユーザインタフェースが適切に設計、実装されているかをレビューする。

1つのやり方は、UXデザインパターンを活用する方法だ。目的や用途に応じたUXごとに、デザインパターンを
開発者に提供し、プライバシー観点でどんな考慮が必要なのかをフォローする。

(2) バックエンド

ユーザが、いつ、どのデータに対して、どういう行為について同意をしたか、などをバックエンド側で保持するだろう。フロントエンドでユーザに見せたり同意を得たことと、矛盾のないように、暗黙的な見知らぬデータ転送がないように、などの観点でバックエンド側が設計、実装されているかをレビューする。GDPRでは、このような透明性を”prove”することを要求している。

この場合、ダークパターン(アンチパターン)を活用するのもいい。
例えば、ユーザが同意もしてないのに顔認識機能がONになっていて、OFFにするには何階層も移動して
やっとOFFに出来るようなパターンなど、様々なパターンが知られている。

5: Implementation review

実装のレビューチェックも重要だ。GDPRで規定される代表的な条文/要件に、システムの実装が合致しているかをチェックし、必要なら適正な実装方法をアドバイスする。

  • 第15条 Right to access(アクセスの権利)
  • 第16条 Right to rectification(修正の権利)
  • 第17条 Right to erasure(削除の権利)
  • 第18条及び21条 Right to restrict processing(処理制約の権利)
  • 第20条 Right to Data portability(データポータビリティ)

第15条 Right to access(アクセスの権利)

ユーザに対して、企業が保有する本人のデータにアクセスできる権利を保証することだ。
ユーザからの要求が少なければマニュアルで運用すればいいが、要求が多いなら自動化するのが望ましいだろう。

サードパーティへのデータ提供や、FacebookやTwitterなどを通じてデータを獲得する場合があれば、これの考慮も必要だ。

欧州に比べてアメリカは遅れているので、駄目な実装も目にすることがあるが、実は2020年1月から施行される
「カリフォルニア消費者保護法」というのがあり、カリフォルニア州の人に対して、データアクセスの権利を与えている。

第20条 Right to Data portability(データポータビリティ)

例えば、IoT系サービスの場合で、家のセンサやスマートホームからデータを集めている場合、
どのデータを活用するのか選択することについて設計、実装することになるし、場合によっては、
関係しているIoTセンサやデバイスの人と話をして、データポータビリティも考慮してデータフォーマットや
プロトコルやAPIなどの設計をするのが望ましい。

業界においては、Google, Facebook, Twitterは”Data Transfer Project“(https://datatransferproject.dev/)を創設したことがユーザ体験をよりよくする可能性があるとして期待されている。
これによって、ユーザは、自分のデータを1つのサービス組織から別の組織にTransfer出来るようになる。

Data Minimization(データの最小化)

データ集約やマスキングなど、データ最小化の処理がなされているかレビューし、必要な改善をガイダンスする。

6: Training for Privacy Expert

このようなリスク評価プロセスは、ウォーターフォール型でもアジャイル型でも開発プロジェクトに
通用できるが、プライバシー専門家は、開発部門と一体となってこのトレーニングを積むのが良いだろう。
それは、プライバシーへの対応状況というのは、開発中のシステムの設計次第で、どんどん変化していくからだ。
例えば、一度、要件を満たした設計になっていたが、他の機能の実装によって、要件を満たさない形に
変わってしまう可能性もある。リリースの後でも、必要に応じて、リスクの状態がどう変化しているかを
定期的に見直したり、見える化しておくと良いだろう。

7: Accountability

こういうプロセスに従ってDPbDを実現すると、様々なレビュー結果の資料が残っていくはずだ。
例えば、あるユーザが「あなたの会社は、このサービスで、プライバシー・バイ・デザインをやってるか?証拠はあるか?」と問われときには、(中身を除いた)テンプレートと企業で決めたDPbDのプロセスを見せればよいです。

ご静聴ありがとうございました。

資料ダウンロード
 映像(YouTube)

参考

講演: 佐久間淳教授 (筑波大学)

タイトル:AI, Security and Privacy

内容

1: 前提

現在、多くの企業が大量のデータを保有しており、ここから得られるナレッジを活用したいのだが、
プライバシーや秘匿性の観点から、これらを「結合」して分析などをすることが困難だ。

今日の前半は、この課題を解決する2つのアプローチとして、「差分プライバシー(Differential Privacy)
と「秘密計算(Secure Computation)」について紹介したい。

2: 差分プライバシー

差分プライバシーは、統計的手法をベースとしている。分析結果に対して一定の割合で、”実際と異なる結果”をノイズとして混入する事により、最終的な分析結果にほとんど影響を与えず、プライバシーを一定レベルで守ることを実現するものだ。

Local Differential Privacy (LDP)

例えば、「どの絵文字を使う頻度が高いのか」といった統計データが必要なケースを考えてみる。
全てのユーザの全てのメッセージを獲得すれば実現できるのだが、プライバシー等の問題からこれは不可能だ。
分析者が「あなたは今日、メッセージにスマイルマークの絵文字を使いましたか?」という質問を、全ての顔マークについて、全てのユーザに質問して答えがもらえれば、統計データは得られる。

 

ここで、分析者は、LDPというシステムを介して、ユーザからの回答結果を得るとして、LDPは、回答に対して一定のバイアスをかける仕組みになっている。
例えば、ユーザが「YES」と回答したとしても、LDPは、7割の確率で「YES」と分析者に伝え、3割の確率で「NO」(実際と違う答え)を分析者に伝える。
これにより、個々のユーザが本当はどのように回答したかは、プライバシー情報が除外されることになる。

ランダマイズされた回答を得ると正確な統計データが取れない懸念があるが、充分に大きな数のユーザから回答を
もらうことが出来てれば、そのような懸念はなくなる。

このようにして、プライバシーとデータ活用のバランスを取ることができる。

Machine Learning with LDP

LDPはもっと複雑な例にも適用ができる。例えば、「フレーズ・リコメンデーション」の機械学習用データを学習させるケースを考えてみる。
分析者は、LDP経由で、ランダマイズされたテキストメッセージを獲得するが、十分に大きな数のユーザからのデータがあれば、正しく学習させることができる事がわかっている。
x軸にユーザ数、予測の正確さをy軸としてグラフを描くと、プライバシーを考慮しない場合、一定の予測の正確さを保証するのに必要なユーザ数があったとして、LDPを使う場合は、プライバシーを考慮しない場合に比べて、それを満たすユーザ数は大きくなる(余計にデータが必要になる)ことがわかっている。

AppleのiOS10は、利用者の個人データを利用する際に、このLDPを採用、実装している。

3: 秘密計算

秘密計算は、暗号技術をベースとし、Homophic encryptionという技術を使う。
これは、暗号化処理Eと、加算と乗算の関数fについて、
 f( E(a), E(b) ) = E( f(a,b) )
が、復号処理をせずに成り立つようなEをいう。

例えば、データベースAを管理する企業Aと、データベースBを管理する企業Bがいるとして、
第3者がAとBのデータを使ったデータ分析をすると想定した場合に、
単にデータAとBを統合する(プロファイリング等のプライバシー問題)ことはせず、
データA,Bは分散された状態で、データ分析を実現する。

事前にデータA,Bをそれぞれ秘密計算のための暗号化処理を施しておき、
データ分析のリクエストに対して、企業A,Bは暗号を用いた秘密計算のための
処理を実行し、それぞれをデータ分析要求者に返却し、データ分析の要求側も
秘密計算のための処理を実行する事で、正しいデータ分析結果を得られる。

医療研究などの分野で、安全なデータ分析アウトソーシングサービスへの応用が期待されています。

例えば、遺伝子情報を調べる機関と、病院が保有する健康情報(血圧、喫煙頻度、飲酒頻度、等)を組み合わせると、common disease(疾患)を精度よい結果を得られるが、2つのデータを「結合」することはプライバシー問題となるためHomomorphic Encryptionを用いる。

後半はAIの世界におけるセキュリティ問題について話したい

4: Adversarial Example

(1)画像処理AIへの攻撃 (Image Adversarial Example)

例えば、AIが「パンダ」と判定できるようなパンダの写真に対して、
特殊なノイズを加えることで(見た目は、パンダのままですが)、
AIに 「オラウータン」と判定させてしまうという攻撃がある。

もしこれが自動運転車に対して、一時停止の標識にノイズを加えて、
そのように認識させないようにする改変が出来てしまうと深刻な問題になるだろう。

(2)音声認識AIへの攻撃 (Audio Adversarial Example)

このアプローチは、画像だけでなくオーディオの領域でも可能だ。

例えば、「Deep Speech」モデルは、音声を単語などに変換する有名なモデルであるが
通常の音楽と、巧みにノイズを混入した音楽を聞かせた場合に、前者は、(音楽なので)何も変換されないが、
後者の場合に、(あるスマートスピーカーなどの)コマンドに解釈されてしまうことが実験の結果わかっている。
実験では、「hello world」と解釈させることができた。

オーディオの攻撃は対策が非常に難しいため、AI側での対策が必要である。

現在、このような、AIに対する攻撃に関する論文は多く見られるが、このような攻撃に対する防御に関する論文は
まだ少ない。

5:  Generative Adversarial Network

顔画像から特定の人物を特定する機械学習ベースのAIシステムに対するABUSEを考える。
最初はランダムに生成画像を学習させていき、徐々に1個人と特定できてしまうような画像を創り出す。

開発したGenerative Adversarial Networkは、2つのモジュールで構成されている

  • Generator: あたかも本物の画像のような偽物画像を生成するニューラルネットワーク
  • Discriminator: 本物の画像と偽物画像を区別するニューラルネットワーク

最初は、Generatorはノイズだらけの画像を初期化画像として生成する。
Discriminatorは、本物の画像と、Generatorの生成した画像を区別する。
学習を通じて、生成画像は、ノイズから写真のような画像に変わっていき、
最終的には、本物のような画像になる。

ここで注目すべきは、最終的に生成された画像はある人物(例えば、キアヌ・リーブス)とAIに
判定されているが、その画像は写真ではなく、AIが生成した人工的な画像であることだ。

ご静聴ありがとうございました

資料ダウンロード
映像(YouTube)

参考

講演 チャン・ルーマン(LINE株式会社 セキュリティ室)

タイトル:GPDR: How we are tackling it at LINE

内容

LINEの情報セキュリティチームのチャン・ルーマンが、LINEのGDPR対応について社外で初めて語りました。

1: LINEにおけるGDPR対応方針

まず前半では、LINEのユーザは世界中にいること、GDPRに限らず世界の様々な国や地域に個人情報保護法に相当する法令があり、これら全てに対応することは非常に難しいことをお伝えしたいと思います。

そこでLINEでは、その国や地域におけるLINEのユーザ数や事業運営状況などを参考に法令遵守を優先すべき国家を特定して、そこでの要件を重点的に掘り下げる方法を従来から採用し運営しています。ある国や地域に特殊な法的要件が存在しており、事業規模と法令遵守コストを対比して釣り合わない場合には、ビジネスチームに対して関連する機能やサービスを提供しないほうが良いというアドバイスをするケースもあります。

また、国家やサービスごとに異なるプライバシーポリシーを用意するなどの対応も実施しています。

このようにLINEではGDPR以前からプライバシーを大事にする文化・慣習を養ってきました。

2: GDPR対応の苦労話

これを踏まえ後半では、GDPR対応にあたって特に苦労した3つの問題をお話します。

特に、LINE固有の機能の法的な整理の問題としては、公開前提となるプロフィール情報(個人データ)を
その他のユーザが見ることはGDPR上の”processing”に該当するか、ユーザ同士でメッセージのやり取り可能ことは
GDPR上の”processing”に該当するか、ユーザが友達の写真をアップしたら当該写真は誰の個人データか、などの点で
慎重な検討と議論が必要になります。

その他、既存の機能をGDPRという新しい概念上どのように整理すべきかという点について時間を割いて説明しました。

映像(YouTube)

パネルセッション: “Balancing Risks in the New Data Economy”

モデレータ

  • Tomas Sander (Intertrust, Privacy Officer)

パネリスト

  • 市原尚久 (LINE, セキュリティ室 マネージャー)
  • Bowman Heiden (Chalmers大学, 教授)

内容

続いて、私が参加したパネルセッションでは、データエコノミー時代におけるリスクバランスのテーマで討論されました。

モデレータからパネリストの紹介のあと、次のような問いかけがありました。

1: Balance of Security, Privacy and Business opportunities

「今のデータ中心の時代において、企業がさまざまなビジネス機会を期待すると同時に、プライバシーやセキュリティのリスクとのバランスが求められている。これについてお考えを聞かせてほしい」

私は以下のような発言をしました(要約)。

「まず、少し前の時代の話をすると、元来から”ネットワーク、モバイルやWebなどのアプリのセキュリティ品質をコントロールするために必要なスキルやナレッジ”と、”プライバシーをコントロールするために必要だったスキルやナレッジ”の2つがあるとして、現在のような”データ主導の時代”のプライバシーコントロールに求められるナレッジやスキルは新しいものだ。
既存の2つのスキルは両方必要であるが、その間には溝(missing pieces)がある。今後、これを埋めるためのスキル向上や経験習得が必要だ。

例えば、セキュリティにおける脆弱性が発見された場合、多くの場合にこれを再現できたり、ログなどによって、「重要情報が外部に漏れた」などの客観的証拠が自明になる。
つまり発生する問題の「現象」を、ネットワーク上の通信、処理やデータの流れ、アーキテクチャ、暗号の仕組みやプロトコル、などの言葉と説明によって客観的に説明ができ、白か黒かはっきりできるケースが多い。

一方、プライバシー問題と指摘されうる「現象」というのは、そこに至る思考プロセスは、セキュリティのエンジニアが持つ解析的な思考によってたどり着くことがある。しかし、現在のプライバシー問題は「白か黒か」を判断しにくい(エンジニアによっては何も問題と認識しない状況も容易に起こりうる)。このため、エンジニアの思考プロセスだけでプライバシー問題を発見できない(されにくい)状況が起こりうるため、エンジニア的な解析能力とプライバシー的な感覚が両方求められる場合がしばしばある。

また、プライバシー問題の判断基準がない問題についても企業や業界は、真剣に向き合う必要がある。GDPRは1つの良い参考になるだろう。

その意味で、現在のデータ主導時代にフィットしたプライバシーという分野はまだ未開拓(uncharted)な状況だと言えるし、今後、新しいプライバシーの知識体系が必要になる。これは経験の積み上げも重要だろう」

2: What we learn from Facebook Data Breach Incident

続いてモデレータから

「今、話題にでたFacebookのデータ漏洩の事件は、この年の象徴的な事件だったと思う。これについて何か考えがあるか?」という問いがありました。

これに対しては、次のように発言しました(要約)。

「Facebookのデータリーク問題の根幹の技術として、OAuthに代表される認可(authorization)という機能がある。ユーザ情報アクセス用のトークンが提供され、これによりサードパーティーが、Facebookのユーザ情報にアクセスできるという仕組みだ。いろいろなサイトでアカウント登録したり、自分の名前などのデータを何度も入力しなくて済むといったメリットから使われてきた。
これらの情報を取得したあとコントロールの部分について、残念ながらFacebookのやりかたには問題があり、これが後になって判明し、今回の問題に発展していた。
そこには次の2つの側面の問題があった。

  • 提供した情報のコントロールの問題
  • 提供する情報の種類と利用手段の問題

では、あの当時、他の企業が、同じような状況にあったときに(同じようなユーザ規模や認可機能を提供していたと想定)この問題を完全に回避することができたか?

これは私の個人的な意見ではあるが、残念ながら「回避できた」と断言できた企業は少ないと思う。
確かにあの事件以来、この問題は有名になったが、2012年前後、企業や組織として、この問題を的確に理解し、企業内のプロセスやチェック機構としてコントロールできていた企業は、非常に少なかったのではないかと思うからだ。
繰り返しになるが、やはり、プライバシーに対する新しい知識体系が必要だ、ということを言いたい。」

ここ数年、様々なプロジェクトのセキュリティコンサルを対応してきた中で感じていることを発言しました。

講演 Mr. Ming Syuan Ho (台湾人権協会 / Taiwan Association for Human Rights)

タイトル:”Let Privacy Be The Brand”

内容

最後は、台湾で人権問題を扱う台湾人権協会のDr.Ho氏の講演です。

プライバシーをブランドに、という話で講演したい。

企業のデータ中心ビジネスが人権問題に通じているという話です。

例えば、特定の国家により行われている、または計画されている「情報の送受信を規制すること」が、”表現の自由”への侵害につながる。

データ処理のアルゴリズムがもたらす差別問題やバイアスによる人権侵害、政府による検閲の話題、企業による監視、このような状況によって、デモクラシーの危機にまで発展する可能性がある。

さらに、プライバシー保護がビジネスの利益を損なうという企業の考え方に対しては、不必要な論争や訴訟や罰金の回避、良いレピュテーションが生む長期的ビジネスチャンス、といった側面があるため、長期的な視点からは、必ずしも利益を損なわない。

LINEは台湾でも有名なアプリで、大きな企業だが、現在、透明性レポートや暗号化レポートを公開していて、透明性とプライバシーに対して、健全という印象がある。

企業のプライバシーに対する姿勢は、ブランド力につながるのだ。

資料ダウンロード

参考

3. 所感

今回は、欧州だけでなく米国、日本、台湾の素晴らしいスピーカー、パネリストにご登壇いただき、心より感謝申し上げると共に、大変に光栄に思います。

内容も、データプライバシー、GDPRやプライバシー・バイ・デザイン、プライバシーエンジニアリング、プラットフォーマーのデータプライバシーとセキュリティの課題、など
多岐にわたり、たった1日でデータプライバシー全体のホットトピックを講演やパネルセッションの形で聞くことができる貴重な機会だったと思います。

 

また、欧州の様々な国や企業、米国の企業やアカデミアの方々の様々な(ときには熱く、ときには極めて冷静な)考え方に触れることができ、私達LINEに対する客観的な意見をうかがう機会となったと思います。LINEは欧州での存在感は高くありませんが、LINEがアジアの一部の地域で、重要なポジションにいることをよく理解されていました。その上でやはり、Facebookとの違いであったり、同様のリスクの話題についてはとても興味を持っていて聞いていたという印象でした。特に、LINEの透明性レポート、暗号化レポート、暗号のホワイトペーパーの内容について質問してくる参加者の方が複数いらっしゃったことは、むしろ驚きました。

有識者の方たちとつながり、有意義な意見と議論の形成ができたことを運営する立場としても嬉しく、また光栄に感じています。

今回、参加していただいた参加者、スピーカー、モデレータ、パネリスト、スタッフの方、そして開催の準備に多くの貢献をしてくれたIntertrust社にもあわせて感謝いたします。ありがとうございました。

4. 今後について

次回のサミットは、2019年の春、日本で開催予定です。

Related Post