第105号コラム:佐藤 慶浩 理事(日本ヒューレットパッカード株式会社 個人情報保護対策室 室長)
題:「デジタルデータの改ざん防止とその保証」

 先日、当研究会の医療分科会のパネルディスカッションに参加した。お医者さんに囲まれて、パネリストとしてはIT畑からは僕ひとりの参加だった。
 いきなり余談だが、この分科会の主査は小説からTVドラマ化された「チームバチスタの栄光」の白鳥技官を彷彿とする。当研究会における劇中のグッチーこと田口くんは誰なんだろうと、つい考えてしまう。
 そんなテンションのディスカッションの一部として、「医療行為のログをいくら記録しても、デジタルデータは改ざんしやすいとみなされていると、デジタルデータとして正確に記録することの便益が高まり難い。」という課題認識が紹介された。

 医療における医者の行為は、性善説で考えなければ始まらないというのは、秋山理事の講演を聞いたことがある方なら、よく理解できるであろう。しかし、現実社会では、医療行為の結果がよくないと、行為に問題があったのではないか?さらには、その問題行為を隠ぺいしようとしているのではないか?という疑念を持たれることがある。そこで、医療行為をすべて記録に残せば、行為に問題がないことを立証できそうだが、疑心暗鬼となった者は、記録のうち都合の悪いデータを改変して、行為に問題がなかったことを偽証するのではないかと疑う。というのが、この背景である。
 そのときに、デジタルデータとしての記録では改ざんしやすいと思われれば、紙面などの記録の方が確実となり、医療機関がデジタル記録を導入する便益が高くならないというわけである。
 フォレンジックで確認する行為の類型については、デジタル・フォレンジック事典の第6章に書いたとおりだが、不正行為があったことの確認と、不正行為がなかったことの確認は真逆のものである。フォレンジックという語感から、前者に偏りがちだが、記録する動機付けには後者の方が重要となる。先述の課題認識は、まさに後者のことだ。

 そこで、行為の記録方法には、それが容易に改変できない仕組みであることが求められる。
 これは、情報セキュリティの機密性、完全性、可用性の保護のうち、2つ目の完全性保護対策の役割である。
 データの改変防止として、すぐに思いつくのはアクセス制御による保護であろう。しかし、ここでは、行為者が事後に自身の行為の記録を改変することができないことが求められている。そのため、単純なアクセス制御では、自分のデータは自分で修正ができるため不十分となる。
 また、システム管理者であっても、同様に容易にデータ改変ができない仕組みでないと、システム管理者による不正改変を否定できない。
 これら2つの問題を解決するのは大変そうだ。

 ところがこれと同じ課題は、約15年前に別のところでも取り上げられたことがある。それは、米国で最初のインターネットバンキングが開業する際に、FDIC(連邦預金保険公社)が指摘した。不正な取引で預金者に被害が出た場合に、それが内部の行員による不正か、外部からのハッキングなどによる不正かを明確に区別できないようでは、預金保険を適用できないとしたのである。

 この課題解決に寄与したのが、強制アクセス制御とデュアルロックという技術である。どちらも当時トラス テッドOSと呼ばれるセキュリティ機能を強化したOSに導入されていたものである。
 トラステッドOSでは、アクセス制御を任意型と強制型に区別して取り扱う。標準OSがもっているのが任意型で、データを取り扱う者がアクセス制御を任意に設定・継承するという意味だ。そのため、自身のデータのアクセス制御を自身が管理するので、自分のデータであれば修正が自由にできてしまう。これに対して強制型は、特定の権限を持つ者が、アクセス制御を定めたら、それがOSによって常に強制され、データの作成者やアクセス権を与えられた者も、定められたアクセス制御を変更することはできないというものだ。そのひとつに、WRITE-UPというものがあり、これはデータをファイルの末尾に追記することだけできるが参照や修正もできないというアクセス制御だ。これで行為の記録を保存すると、自身の行為記録であっても、事後に修正や削除したり不実の時刻での記録を途中挿入することができない。

 これだけでも強力ではあるが、これだけでは、特定の権限を持つ者は、記録の改変ができることになるので、それをデュアルロックという技術を用いた運用で保護する。デュアルロックは、権限行為について、ひとりの操作だけでは完了することはできず、必ずもうひとりの別の権限者による操作を伴ってから完了させるようにする技術だ。デュアルロックという言葉がそうだが、鍵が2つ付いた戸棚で用いられている方式だ。そのような戸棚の2つの鍵のそれぞれを、2名で別々に管理すれば、戸棚の開け閉めは、それら2名が揃わないとできずに、ひとりが知らない間に無断で戸棚を開けることができないようにするものだ。これによって、システム管理者がひとりで不正にデータの改変をすることができなくなる。
 これによって、本人もシステム管理者も、記録としてのデジタルデータを事後に改ざんすることを容易ではなくすことができるのである。
 トラステッドOSについては、http://bit.ly/trustedosに資料掲載してあるので、ご興味あれば参考にされたい。

 あれから15年経った現在では、ここで紹介したセキュリティ強化技術は、Linuxと商用Unixでは、標準OSの機能として備えられている。(ただし、OSのセキュリティ問題は定期的に配布するセキュリティパッチで解決すればよいと主張する会社のOSには、これらの機能はない。)
 したがって、それら標準OSの機能を正しく設定して運用すれば、トラステッドOSを導入する必要はなく、比較的安価に、デジタル情報の改ざんをOSで防止することができるようになったことは、あまり周知されていない。
 また、それらはOSとして、ISO/IEC 15408認証(CC:コモンクライテリアとも呼ばれる)を受けていることが多い。そのときには、必要であれば、そのOSの上に構築するアプリケーションを含めて改めて、同認証によって、証跡であるデジタル情報の改変が容易にできないことについてアプリケーションソフトウェアとしての第三者認証を受けることができる。

 このようにして、デジタルデータの改ざんを防止し、必要であれば、ソフトウェアとしての仕組みについて第三者認証で保証してもらうことに役立てることができる。
 不正行為をしていないことを証明したいのであれば、このような技術を活用しないと、冒頭のとおり、記録の事後改ざんを疑われてしまっては、行為の記録を取ることの意味が損なわれてしまうかもしれない。
 トラステッドOSという古い技術の紹介をしたが、標準OSの機能に取り込まれた近年では、温故知新として、一度、それらを再評価してみることは有意義だと思うので紹介した。
 これがあれば、白鳥技官とグッチーの苦労も相当減るに違いない。

【著作権は佐藤氏に属します】