LINDDUN分析 Yoshioka & Takenouchi 2013/11/7 在学生・修了生情報 ユーザ イベントの電子 メール通知 SMTPサーバ Web Webサー サーバ バ Webサー 認証 サーバ バ 大学事務 イベント情報DB 在学生情報DB ID DB 修了生情報DB 説明会 ユーザ 統計 Webサー パッ バ ケージ Web Webサー サーバ バ 大学事務 ID DB 登録情報DB (参加履歴) Privacy Threats:説明会 Data Store Process Entity Data flow Link Id Non-R Detect Discl Unaware Non-C 登録情報DB (参加履歴) 1 1 X X 1 ID DB 1 1 X X 1 Webサーバ X X X X 統計パッケージ X X X X ユーザ 1 1 X 大学ユーザ X X X Webサーバ⇔登録情報DB X X X X Webサーバ⇔大学事務 X X X X Webサーバ⇔ID DB X X X X Webサーバ⇔統計パッケー ジ 1 1 X X 1 Webサーバ⇔ユーザ 1 1 X X 1 Webサーバ⇔大学事務 x X X X 1 1 1 1 1 Threat Tree: Linkability/Identifiability of DataStore (「登録情報DB」,「ID DB」) 「登録情報DB」や「ID DB」に登録した登録情報が、他人からLinkableやIdentifiableであると プライバシ侵害になりうる Likability of DataStore (登録情報DB) Weak access control Weak data anonymization Likability of DataStore (ID DB) Weak access control Identifiability of DataStore (登録情報DB) Weak access control Weak data anonymization Weak data anonymization Identifiability of DataStore (ID DB) Weak access control Weak data anonymization Threat Tree: Linkability/Identifiability of Entity(ユーザ) ユーザに関する登録情報が、他人にからLinkableやIdentifiableであると プライバシ侵害になりうる Likability of Entity (ユーザ) Data flow not fully protected Non anonymous communication are linked ※Identitiabilityも同じThreat Treeであるため省略 Threat Tree: Linkability/Identifiability of Data Flow (Webサーバ⇔統計パッケージ、Webサーバ⇔ユーザ) 「Webサーバ⇔統計パッケージ」「Webサーバ⇔ユーザ」に流れる登録情報が、 統計パッケージ(の管理者)からLinkableやIdentifiableであるとプライバシ侵害になりうる Likability of DataFlow (Webサーバ⇔統計パッ ケージ) Data flow not fully protected Non anonymous communication are linked Likability of DataFlow (Webサーバ⇔ユーザ) Data flow not fully protected Non anonymous communication are linked ※Identitiabilityも同じThreat Treeであるため省略 Threat Tree: Non-repudiation(否認不可) 否認不可については、プライバシ上の問題は無いように思える。 竹之内メモ: LINDDUN論文によると、否認不可(Non-repudiation)の機能はセキュリティ上必要 になる場合があるが、場合によってはプライバシ上の問題にもなるとのこと。 【例】 否認不可(Non-repudiation) が必要になる例: e-commerceサイトでは、購買したことを否認することを防ぐために 否認不可(Non-repudiation)の機能は必須だろう。 否認不可(Non-repudiation) がプライバシ上の問題となる例: off-the-recode conversation(匿名会話?)のシステムでは、参加者は参加 していることを否認したい。否認不可の機能はプライバシ性を低下させる。 Threat Tree: Disclosure Disclosure of 登録情報 Information disclosure of 登録情報 セキュリティ 脅威と同じ 9 Threat Tree: Unawareness Unawareness of 登録情報の利用 必要以上の 個人情報を 登録 目的外の個人 情報を登録 個人情報の利 用承諾がない 間違った登録情報に よる間違った判断 登録情報の期 限が切れている 登録情報の変更 が反映されてい ない 期限を設定する必要 がある?? 10 Privacy Objectives LINDDUN threats Privacy Objectives Disclosure of 登録情報 Confidentiality of 登録情報 Disclosure of 大学事務 Confidentiality of 大学事務 Disclosure of Webサーバ⇔統計パッケージ Confidentiality of Webサーバ⇔統計 パッケージ Disclosure of Webサーバ⇔ユーザ Confidentiality of Webサーバ⇔ユーザ Disclosure of Webサーバ⇔大学事務 Confidentiality of Webサーバ⇔大学事 務 Content Unawareness of ユーザ Content awareness of ユーザ Content Unawareness of 大学事務 Content awareness of 大学事務 利用目的以外の利用 しないようにする 11
© Copyright 2024 ExpyDoc
