スプリガン
| 分野 | 計算機セキュリティ/保護工学 |
|---|---|
| 別名 | 千分率改変(せんぶんりつかいへん) |
| 提唱の場 | 国際防護材料連盟(IAPM)作業部会 |
| 成立の年代(仮) | 1990年代後半 |
| 中核原理 | 観測者依存の微細破壊的補正 |
| 典型媒体 | 組込み制御・低電力ログ装置 |
| 社会的注目 | 2010年代のサイバー保険適用 |
| 論争点 | 説明可能性と責任分界 |
スプリガン(英: Spriggan)は、情報機器の自己保護を目的として発達したとされる「微小改変型セキュリティ概念」である。学術界ではと呼ばれることが多いが、一般には「守るのに、攻撃にも似る」仕組みとして知られている[1]。
概要[編集]
スプリガンは、侵入や改ざんの前段階において、対象の挙動を「見え方のレベル」で制御する技術概念として説明される。具体的には、プログラムやデータに対してと呼ばれるごく微小な変更を加え、監視・推定・復元の手順が成立しにくい状態を作るとされる。
この概念は一見すると改ざんそのものに見えるため、導入時には「守るための変更」であることを監査に説明する必要があるとされた。監査手続は、東京都にある仮想監査拠点などで試験的に整備されたという[2]。
一方で、スプリガンの挙動が利用者の予期しない形で「壊れたように見える」ことがある。そのため、説明可能性を求める立場からは反発もあり、対策がいつ攻撃に転じるかという議論が繰り返された。なお、用語の語源については「採取した材料の芽が守りに変わる」比喩に由来するとする説があるが、確証は示されていない[3]。
歴史[編集]
起源:芽吹き防護学と「誤差を武器にする」発想[編集]
スプリガンの原型は、1997年に国際防護材料連盟の作業部会で議論されたにあるとされる。芽吹き防護学は、誤差を「欠点」ではなく「防衛の媒体」として扱う考え方で、理論はを基盤に構成されたという[4]。
当初の実験では、装置の制御信号に対し「ちょうど1/1000だけ」異なる位相補正を加え、誤差推定のアルゴリズムが破綻する境界を探ったとされる。報告書には、位相補正の量が(ピコ秒)を超えると復元手順が急激に不安定になる、といった細かな閾値まで記載されている[5]。この値は後に「ログの量子化がたまたま揃っただけ」として否定されたが、用語の説得力には貢献した。
また、当時のクラウド以前の現場では、低電力ログ装置が企業のに組み込まれていた。東京に設置された試験ラインでは、停電時にログが欠落するのを防ぐため、欠落予測を「わざと外す」ことで復元のカスケードが起動しないようにした、という逸話も残っている。この方針が、後のスプリガンの「守るために壊れるように見せる」思想へと繋がったと説明される[6]。
発展:監査制度と保険の「千分率要求」[編集]
スプリガンが社会に定着したのは、2012年頃のサイバー保険の審査項目が見直されたことが契機とされる。保険会社は「改ざん対策がある」だけでは足りず、どれだけの改変が許容されるかを数値で提示するよう求めた。その際、審査モデルに取り入れられたのがという指標だったとされる。
この時期、の委員会では「改変量の上限を(千分率で0.3)に抑えよ」という草案が回覧された。草案は最終的に緩和され、まで許容される代替案が採択された。しかし議事録には、採択直前に誰かが「保険の免責条項は文章の千分率で決まる」と言ったため、担当者が最後に数式を挿入した痕跡があると噂されている[7]。
なお、運用上は「改変の痕跡を残さない」ことと「改変が必要だった根拠を残す」ことが両立しない場合があり、監査現場ではトレードオフが問題になった。そこで、監査ログの暗号鍵生成を、スプリガンが制御する観測条件に合わせて変更する仕組みが導入され、の実装ガイドとしてまとめられたとされる[8]。
現在:説明可能性の壁と「守りが似てくる」現象[編集]
2018年以降、スプリガンが導入された機器では、正常系の挙動が侵入挙動に類似して検知されるケースが報告された。これが誤検知ではなく、スプリガンの設計意図(推定の成立を阻む)と衝突しているのではないか、という指摘が出たのである。
たとえば、を行う業者が装置の健全性確認に「再現テスト」を実施した場合、微小改変が毎回同じに見えず、テスト結果がの範囲に散らばることがあるとされた[9]。統計的には問題ない範囲とされるが、運用者からは「確かに動いているのに、検査報告書が書けない」と不満が出たという。
このため近年では、スプリガンを「全自動で秘匿する装置」ではなく、「監査可能な説明付きプロファイル」として提供する方向が強まった。とはいえ、どの程度の説明を提供すべきかは各社の裁量に依存し、の標準案が採択されなかった理由として「説明の粒度が利用者ごとに異なる」ことが挙げられている。なお、同標準案の最終草稿に「誤差は愛で補え」という一文が混ざっていたとされるが、削除ログは見つかっていない[10]。
批判と論争[編集]
スプリガンに対する最大の批判は、守るための変更が外部から見ると改ざんに同型化する点にあるとされる。支持側は、観測者の推定を妨げるだけでシステムの真正性(完全性)を奪わないと主張する。しかし反対側は、真正性の定義が「誰の目線か」で変わる以上、責任の所在が曖昧になると指摘した。
また、保険制度との結びつきが強いほど、企業は数字(たとえば)を満たすことに集中し、運用の本質(事故時の説明)を後回しにしがちだという批判もある。さらに、監査現場では「千分率改変を行ったことを、誰がいつ知るべきか」という倫理的な論点が浮上した。つまり、知るべき相手が多いほど観測が成立し、妨害効果が薄れるという逆説である。
この論争は、が主催した公開討論会で白熱したとされる。その討論会では、反対派が「スプリガンは守りに化けた疑似攻撃である」と述べ、支持派が「疑似攻撃に見えるくらい正確に守る必要がある」と返したと報告されている[11]。なお、会場の温度が27℃に設定されていたため、スライドが一部読み取れず、結局「どちらの主張が勝ったか」を議事録が判断できなかった、という笑える結末もあるとされる。
脚注[編集]
関連項目[編集]
脚注
- ^ 高瀬ユウト『芽吹き防護学と観測者依存の安全性』第3版、ユニオン出版社, 2001.
- ^ Dr. セオドア・モリソン『Microscale Perturbation for Incident-Resilient Systems』Springfield Academic Press, 2014.
- ^ 中條サラ『千分率改変の監査設計:数字で語る守り方』監査工学叢書, 2016.
- ^ 国際防護材料連盟(IAPM)『IAPM Working Notes: Spriggan Reference Model』Vol.12, pp.41-58, 2013.
- ^ 遠藤レン『低電力ログ装置の誤差境界と復元失敗の設計図』情報保護ジャーナル, 第18巻第2号, pp.77-99, 2010.
- ^ 山縣カイ『誤差推定を破る位相補正:0.999 psの迷宮』計算工学レビュー, Vol.9, No.4, pp.201-226, 2004.
- ^ JASRI『監査可能な改変指標の提案:0.3‰から0.8‰へ』第7回規格会議資料, pp.12-35, 2012.
- ^ 北翠セキュリティ検証室『検証ログの生成順序と責任分界』室報告シリーズ, 第1号, pp.3-21, 2015.
- ^ 松岡ミナ『疑似攻撃に似る守り:運用者の体験設計』保護運用紀要, 第22巻第1号, pp.55-74, 2019.
- ^ E. Alvarez『Explainability Contracts in Insurance-Driven Security』Lecture Notes in Applied Security, 第6巻第1号, pp.9-30, 2018.
- ^ R. K. Varela『On Observability, Compromise, and Corporate Liability』Journal of Defensive Computation, Vol.31, No.3, pp.300-333, 2017.
外部リンク
- 千分率改変アーカイブ
- IAPM技術資料倉庫
- JASRI 監査規格プレビュー
- 北翠セキュリティ検証室 研究日誌
- 説明可能性フォーラム