秘密分散ライブラリを用いた社会実装~ミルウスとアクシスによる先進事例を紹介! 【JAPANSecuritySummit 2024 Nova Shieldセッションレポート】
Nova Shieldは、中央大学研究開発機構と共同で、秘密分散ライブラリの研究開発を進めており、本件に関する3件の特許を取得した。現在、数社の企業と、その社会実装に向けて取り組んでいるところだ。その中から代表的な社会実装を推進している株式会社ミルウス 代表取締役社長 CEO 南 重信 氏と、株式会社アクシス 代表取締役 宮腰 行生 氏が、プロダクトの具体的な事例について紹介した。
感情などのパーソナルデータを安全・納得性をもって社会活用につなげる
ミルウスは、北海道大学発の認定ベンチャーで、今年で8年目を迎える企業だ。もともと東芝へルスケアの開発メンバーが集まった企業で、リストバンドなどのセンサーで取得した個人データをAIを使って活用する事業を中心に展開している。その強みは、脈波や心電などのセンサー信号を処理し、感情やプライバシーに関する情報をAIで解析して、さらに、それらの結果をセキュリティ技術で保護するという「3つのディープテック」を融合したサービスを提供できる点だ。 まず利用するセンサーとして、メンタル・バイタル・ライフデータを計測できる仮想センサーの「MIRUWS M3」を提供している。これはシンプルな脈波・加速度センサーだが、高度な信号処理とクラウド上のAI解析によって、睡眠ステージ・無呼吸症候群、感情・ストレス、血流圧といった多様なバイタルデータを高精度かつ無意識のうちに連続計測できるようになっている。
感情・ストレスの推定技術は、日ごろの行動に伴う感情や、寝不足時の感情、医師の手術時の感情などの把握に役立つ。前出のように、感情を推定するために脳波・心電・発汗などでAI学習し、心電で判断する技術を横浜国大と共同研究中だ。本研究では、心電センサーを使っていたが、ミルウスでは社会実装するために、簡易的なリストバンドにより脈波・加速度を計測することで、心電センサーと同様に感情を把握できるようにした。たとえば、ライダーの感情や心の動きを示した結果が以下の通りだ。
同様に血圧もリストバンドで推定できる技術を東北医科薬科大と共同で研究している。これは数個(数秒)の高精度な脈波波形で血圧を高速に推定する技術だ。
このように血圧・感情、さらには睡眠といったデータをエビデンス性を持ちながら精度よく取得することで、服薬や健康食品の評価など実用面で活用できるようになる。
ただし取得したデータは、プライバシー性の高いパーソナルデータであり、これらを活用する際に、サーバーやクラウドに保管する必要があるため、情報漏えいを懸念する声も出るだろう。そこでミルウスでは、セキュリティ上の課題を解決するために「貯健箱」という技術も開発した。
この貯健箱は、スマートフォンの中にあらゆるパーソナルデータを署名付きで保管し、データの改ざんを抑止し、データ所有者を明確化できる。本技術は、すでに日米欧で基本特許を取得済だ。
貯健箱は、後にパーソナルデータが必要になった際に、自治体や勤務先、保険会社、クリニックなど様々な場所に送って活用することが可能だ。そのルールも「数年後に削除する」「再利用する」など条件付きで活用することができる。データ活用時には、目的やサービス種類、閲覧者/データ活用者の証明書、2次利用者の条件などを明示するため、本人の同意プロセスを経て納得した形でパーソナルデータを使わせてもらえる。
さらに貯健箱に溜まったパーソナルデータは、ポイント化してサービスにも活用できる。 ただしスマートフォンに署名付きで暗号保管されているデータでも消失する(機器自体が壊れる)リスクはある。そこで秘密分散技術によって4分割したデータをクラウドに保管し、データを復元可能にしている。データは4分割しているため、すべてのデータが揃わない限りデータを復元できないので、悪用される心配はない。
このように貯健箱は、ヘルスケアに関わるパーソナルデータを、個人の了解をもとに一挙に集めて、プライバシーを保護しながら多様なシーンで活用できるスーパーアプリになるだろう。ミルウスの技術は、IP(知的部品)ライセンスとして提供される。その際にミルウスがPoCとして実証実験も併せて行う。現在進行中の技術は以下の通りだ。すでにソフトバンクや東京都福祉局などで実証も行っている。健康経営のために睡眠時無呼吸症候群のスクリーニングも来年からスタートさせる予定だ。ご興味のある方は、ご連絡を頂きたいとしている。
次世代情報保護技術の秘密分散技術を応用したストレージ開発の状況
アクシスは、Webアプリケーション開発から、ネットワークセキュリティ、クラウドインフラセキュリティなどの事業を展開している。経産省のサイバーセキュリティお助け隊のツールを販売もしており、最近では新たに「AXIS総合セキュリティパック」も発売した。これはサイバー攻撃から組織を守るために、防御・検知・対処・補償をワンパッケージにまとめたものだ。
また、金融機関や医療機関、中小企業向けのクラウド型インターネット分散ソリューション「AXISスマートブラウザ2」も提供している。これはインターネット分離とセキュリティ機能を強化したバージョン2となるものだ。
このように高いセキュリティ技術をもつアクシスでは、国産の秘密分散技術を社会実装するために、多くの機関と連携しているところだ。冒頭で触れられたとおり、中央大学研究開発機構、株式会社リーディングエッジ、Nova Shieldが特許を取った技術を、アクシスが実装するという役割を担っている。さまざまな業界のセキュリティに関する課題をヒアリングしながら、新しい国産秘密分散技術を応用してプロダクト開発を進めている。
ここからは基礎技術である秘密分散技術と、そのほかの技術との優位性について見ていこう。現在の暗号化技術は、計算量的な側面から、いずれは量子計算機の発展によって復号化されてしまい、安全性が維持できないと見られている。また社会実装として利用されるケースでは、暗号鍵が1つだけなので、それが万一漏えいすると、暗号ファイルシステム全体の復号化が可能になってしまう。
このようなリスクを新しい秘密分散技術によって解決することが可能だ。データを分散・断片化することで、量子コンピューターが発展したとしても、情報理論的安全性の面で復号化できず、1つのファイルとして無意味化できるという大きなメリットがある。今回、中央大学研究開発機構が開発した「AMSSS(Advanced Multiplex Secret Sharing Scheme)方式」は、経済論理性においてもバックアップ性においてもデータ量を削減できるというメリットがある。
通常では、秘密断片のすべてが集まらないとオリジナルデータに復元できないが、さらにAMSSS方式では、冗長化によりN+1やN+2の断片を生成できる点が特長だ。たとえば、2+1の3つの断片を作ったとき、2つの断片を取得するとオリジナルデータに復元できるが、もし1つの断片が入ったストレージが破損しても、そのほかのN+1の1があれば復元できるわけだ。N+2の断片は、地理的に別の場所のストレージに保存しておくことで、情報の安全性を担保したまま、バックアップデータ量の削減も可能だ。AMSSS方式と他方式を比較すると、分散後のデータ量の効率が最もよく、計算も高速に行えることが分かる。
このAMSSS方式を応用して、アクシスが開発した製品が分散ストレージだ。今年6月に開催されたシンポジウム・DICOMO2024(https://dicomo.org/)で、アクシスは秘密分散を応用した次世代ストレージの論文を共著で発表した。
本ストレージは透過型で、特別なエージェントは要らず、通常のクライアントから読み書きが行える。ストレージ側の秘密分散通信プログラムで処理した分散断片データを、別のストレージに自動的に保存する。読み込みについては、ディレクトリファイルツリーにアクセスすれば、その情報から分散した断片を拾って自動的に復号することが可能だ。
透過型を実現するのはLinux関連で組み込まれる「Fuse(Filesystem in Userspace)FS」という技術を活用している。これにより、秘密分散プログラムをユーザー空間にロードできるようになる。利用時にはLinux OSのプログラムをそのまま書き込めたり、ファイルサーバーとしてマウントしてWindowsや他のアプリケーションからも簡単に利用できる。
秘密分散の内部処理フローとしては、まずデータを固定長で分割して秘密分散・断片化する。それらをハッシュ化・ブロック化し、さらに元データや経路の復元に必要なメタ情報(ディレクトリーツリー、ユーザー権限、ファイル名)をヘッダとして各ブロックの先頭に付けて、個々の分散データファイルにしたうえでストレージに保管する。読み込みは、これらを統合して復元する形だ。
今回の次世代ストレージのPoCでの利用イメージは、前出のFuseFSを利用したLinuxサーバーを中央に配置し、エンドストレージとしてローカルストレーレジ、NFS/samba、ネットワーク(LAN)ストレージ、クラウドストレージ(REST API/FuseFS)などを自由に選択する形だ。
この使い方としては、たとえばユーザー側でファイルサーバーとしてマウントし、業務データや個人データなどをバックアップする。このときユーザー側は何もインストールする必要はない。アプリケーションも同様に、ファイルサーバーや通常のデータ保存先として、そのまま利用できる。
もう1つ、秘密分散技術を応用した製品として、アクシスではFPGA(Field-Programmable Gate Array)技術を活用したファイアウォールも開発している。これは来年度に発売する予定だ。昨今、UTMやVPNなどにパッチを当てず、放置された脆弱性から不正アクセスされるセキュリティ事故が多発している。これまでのセキュリティ機器は、ソフトスタックによってレイヤーごとに脆弱性を管理していたが、本製品はプログラム可能なハードウェアのFPGAチップを採用して、サーバーや各種デバイスに特化したファイアウォールを設定する(プラグラミングする)ことでセキュアな状態を保つものだ。
たとえば、社内から外部にアクセスして、外部から内部にアクセスしないように半永久的にファイアウォールを設定する際には、FPGAチップにプログラミングした回路を焼き付けるので、セキュアな状態を保てるようになる。さらにマルチ経路のネットワークを実装してエンド・ツー・エンド通信とすることで、NIC1やNIC2など複数の経路に秘密分散の断片を乗せ、ロードバランシングを行いながら、通信の帯域や品質、回線コスト削減など、柔軟な対応が可能だ。
今後もアクシスでは、最先端の秘密分散技術を応用した製品群をブラッシュアップしながら、世の中に貢献できるセキュリティ製品を送り出していく方針であるとしている。
