卒業研究発表マイナンバー制度におけるアクセス制御木下研究室 201002666 伊藤圭祐背景 • 近年、企業や個人が扱う情報量は増加しており、その情報が漏えいする可能性もまた増加している。 • 更に2016年にマイナンバー制度の運用が開始され、さらなる情報漏えいが懸念される。役場マイナンバー (12桁) 企業情報共有社会保障関係部局申請の際にマイナンバーを提示税務当局背景 • 問題点として、マイナンバーには複数の情報が紐づけられるため、推論によって個人情報が漏えいしてしまう。情報A 情報B 役場マイナンバー (12桁) 企業情報共有社会保障関係部局申請の際にマイナンバーを提示税務当局背景 • 前頁の赤枠内の情報のやりとりに着目する。印鑑登録証明書 (情報B) 給与支払調書 (情報A) 支払いを受ける者の名前登録された印鑑住所住所名前 • 違う書類の同じ項目から新たな情報が推論されてしまう。目的 • ハイパーグラフで推論による情報漏えいを防ぐことを目的とする。 • 複数の推論がマイナンバー制度では出来てしまうため、複数の推論が視覚化できるハイパーグラフを用いる。 • ハイパーグラフは推論による情報漏えいに対する安全性が確認しやすいという利点がある。印鑑登録証明書給与支払調書登録された印鑑住所支払いを受ける者の名前名前住所目的 • マイナンバー制度で扱うオブジェクトにダイクストラ法を適用し、推論を防ぐ。 • ダイクストラ法はグラフの最短経路を求めるアルゴリズムで、その最短経路を最も推論されやすい経路と判定する。 • 推論を検知したら推論経路に対して辺の開放除去(辺を取り去ること)を行い推論経路を除去する。研究動向 • 推論による情報漏えい防止のためのハイパーグラフによる依存関係のモデル化とアルゴリズム(2011) 鈴木遼 • こちらの論文ではハイパーグラフにおける推論関係の安全性をグラフ着色で定義し、推論経路の検出まで行っていたが、その後の処理 (制御)はされていなかった。ハイパーグラフ • グラフにおける辺は2頂点対のことであったが、これは辺が2個の頂点からなることを意味する。 • 辺の個数制限を自由にすることで一般化したものがハイパーグラフである。ダイクストラ法を適用することで、推論の経路を視覚化する。提案モデル • マイナンバー制度では個人番号によって複数の機関を行き来することなく社会保障などの手続きを行うことができるが、その情報には他の様々な情報が紐付されているので、情報漏えいの危険性は否定できない。マイナンバー保険料納付状況給与・報酬情報過去の税務申告情報勤め先情報提案モデル • 下のグラフは複数の推論ができてしまうグラフである。このグラフにダイクストラ法を適用して推論経路を検出する。 𝑂1 𝑂2 𝑂7 𝑂3 𝑂6 𝑂4 𝑂5 提案モデル • ハイパーグラフに重み𝐸𝑖𝑗 (時間的コスト+貴重さ)をつけることで最短経路を求めることができる。時間的コストはその情報を読む際の時間、貴重さはその情報の貴重さとする。 𝑂1 𝑂2 𝐸13 𝐸23 𝑂3 𝑂7 𝐸37 𝐸67 𝐸43 𝑂4 𝐸53 𝑂5 𝑂6 提案モデルにおけるダイクストラ法 𝑂1 𝑂2 𝐸23 𝐸13 𝑂7 𝑂3 𝐸37 𝐸67 𝐸43 𝑂4 𝐸53 𝑂5 𝑂6 • 𝑂1 から𝑂7 への最短経路と、 𝑂2 から𝑂7 への最短経路のどちらが推論経路かを求めるには、隣接する辺の重みを順次足していく。 • 最終的に、足していって重みが少ないものが推論経路となる。 • 重みについてはこちらで設定する。マイナンバー制度上のハイパーグラフ 𝑂1 3 𝑂2 2 4 𝑂7 3 𝑂1 …被支払者名 2 4 5 給与支払調書 𝑂8 𝑂2 …被支払者住所 𝑂9 𝑂3 …被支払者生年月日 2 2 𝑂11 𝑂4 𝑂3 2 4 𝑂5 3 3.5 𝑂6 出生届 𝑂4 …出生者住所 𝑂10 4 𝑂5 …出生者生年月日 2 𝑂6 …出生病院 3 𝑂12 法定調書印鑑登録書 𝑂7 …登録印鑑 𝑂10 …提出者氏名 𝑂8 …氏名 𝑂11 …提出者住所 𝑂9 …住所 𝑂12 …提出者電話番号最短経路 𝑂1 3 𝑂2 2 7 4 𝑂7 3 4 5 • 𝑂8 からの最短経路は赤線部で重みは7、 𝑂9 からの最短経路の重みは9で𝑂8 から𝑂12 2 が推論されやすい経路となる。 𝑂8 𝑂9 2 2 𝑂11 𝑂4 𝑂3 2 4 𝑂5 3 3.5 𝑂6 𝑂10 4 2 3 𝑂12 7 • 印鑑登録書の氏名と住所から、法定調書の提出者電話番号が推論により判明してしまう。最短経路に対しての処理 • この求めた最短経路が最も推論されやすいので、重みが2の経路を開放除去すると推論経路はなくなる。 • すなわち𝑂8 (印鑑登録書)を読んだ者の 𝑂10 (法定調書)へのread権をなくす。 2 𝑂8 𝑂10 2 3 𝑂12 7 開放除去の結果 • 辺を開放除去したので、推論経路はなくなった。 2 𝑂1 4 𝑂2 𝑂7 3 4 5 𝑂8 𝑂9 2 2 𝑂11 𝑂4 𝑂3 2 4 𝑂5 3 3.5 𝑂6 𝑂10 4 2 3 𝑂12 まとめ • ハイパーグラフとダイクストラ法を用いて推論経路を検出し、推論を防げることがわかった。 • マイナンバー制度で扱う情報を自動的にハイパーグラフに当てはめることができたら、処理が簡略化できると考えられる。 • また推論経路の辺を開放除去した際に、他のオブジェクトへのread権に支障が出る場合も考えられるので、これを防ぐことが課題である。