シェアする

情報のトレーサビリティ

トレーサビリティという言葉が一般に認知されて使われるようになったのは、食品の分野だろう。食の安全を確保するために、食品が産地や、生産者を流通段階において、容易に特定できるように、出荷段階でコードを振って、各流通段階、加工段階でそれを記録し、更新することによって、問題が起こった時には遡って特定することを可能にするものである。食肉などの加工が行われていない単純なものであれば、一般の消費者からも、産地や、出荷日などの様々な情報を参照できるようにしていることもある。厳格なルールや産地偽装等に対する罰則規定なども規定されており、食の安全に寄与している。

このようなシステムが必要になった背景には、生鮮食品が国際的に流通するようになり、国内の市場、生産者では思いもつかない事態が発生し、食の安全性が脅かされる事態になったばかりか、結果的に国内の優良な生産者が被害を受ける事態となり、これらを保護する必要性があるためである。

我々は、「まさかそのようなことはないだろう」と高を括ること、性善説に立って物を考えるということが多い。しかし、ごく一部の悪意によって、被害を受けるのは、実際に善良な残りの多数であって、こうしたシステムは善良な事業者こそを守るものである。

同じように工業製品、部品ではシステムは整備されていて、不具合が起きた時には調べることができる。これらも同様であり、粗悪品の流通で被害を受けるのは、消費者もさることながら、優良な生産者にはより深刻である。

しかし、工業製品においても消費者の手に渡るところは、プライバシーの問題もあるので、必ずしもシステム化されているとは言えない。ユーザ登録という形で、利用者から能動的に行えば、そこが結び付くが、そうでなければ途切れてしまう。もっとも最近のネット販売のシステムであればそこを結びつけることができるはずなので、危険性のある事案ではトレースしてもいいのではないかと思うことはある。

ソフトウエア開発の現場では、プログラムは、システム的に管理されて、その変更履歴を追いかけることができることが一般的である。したがって、そのシステムから外れない限りはトレース可能である。

だが、一般の情報、文書については、そういうシステムで管理されているということは残念ながら少ないように感じる。完成したものに関しては、文書番号が振られて、ファイリングされていることは多い。しかし、それでも何をどこへ配布したかまで記録していることは稀ではないだろうか?ましてや、途中の作業、校正、編集となればなおのことだ。

そういうことを自動的に行うシステムが存在していないかといえば決してそうではない。プログラム開発では、現在は Git を使っているケースが多いが、同じようにバージョン管理を行うことができるシステムはある。特に複数の人間がかかわって文書を作成しているようなケースでは、プログラム開発と同様に編集中にはロックを掛けるようにして、整合性を保つことは重要なはずだ。「そういうことはしない」という残念な答えも聞こえてきそうなのだが、それでは効率的な作業が行えるとも思えない。

さて、トレーサビリティということになるとデジタル情報は非常に不利であることは間違いない。なぜなら、デジタル情報は複製してもなにも変化しないからだ。したがってコピーを繰り返して、拡散してしまう。コピーで拡散するという点では、紙の場合も同じで、非常にコピーマシンの性能が高くなったせいで、紙幣をコピーしても簡単にはわからないくらい精巧に複製できるようになり、無限に拡散するリスクがある。そのため、紙幣では、透かし、超微細印刷や、ホログラムなどさまざまな複製防止技術を駆使している。

紙で複製防止を行うのは、コピーを取ると文字が浮き出るなどの印刷技術もあるが、トレーサビリティを一般に実現するのは非常に厳しい。それに比べればデジタルデータのトレーサビリティを実現するにはいくつかの技術が存在する。これが利用できるようになった要因として、やはりインターネットの普及は大きな役割を果たしている。

たとえば、かつてはソフトウエアの販売はメディアそのものをコピー不能にするくらいしか手段がなく、シリアル番号の確認にしても、正しいシリアル番号でありさえすれば、それが何台のコンピュータにインストールされているかを確認する手段はなかった。しかし、現在は、インターネットでのライセンス認証が一般的となり、不正にソフトウエアを利用することは不可能になった。

情報漏洩という問題を考える時に、現在は水際だけを監視すればよいというものではない。漏洩するルートは非常に多岐にわたり、漏洩を防ぐという手段は無意味であるとはいわないが、すくなくとも流出した場合にその範囲を正確に把握することが最も重要であり、そのようなことを可能にする方策を考えることが望ましい。

このような情報管理を行うものとして、Information Rights Management (IRM) がある。デジタルデータはコピーをされるのは避けられないので、ファイルは暗号化しておく。ただし、固定的な複合鍵を配布するのではなく、ファイルを開くためには、インターネットを介して認証サーバにアクセスして権限を確認し、暗号キーを入手してファイルを開くという仕組みを提供するものである。現状、情報にトレーサビリティを導入する方法はこの方式が一般的である。この方法を提供しているのでよく知られているのは、Adobe, Microsoft, EMCの3社である。

固定的な復号鍵を配布することは一次的には目的は達せられるが、秘密鍵の場合、昨今のGPUを応用したコンピュータを利用した場合、かなり短時間で破ることができるといわれている。現に、パスワード付保護のPDFファイルを復号するWebサイトまで存在する。我が国でよく利用されているパスワード付ZIPも同様である。さらに一旦復号されてしまえば、その先の流出に関して追いかけることが不可能である。

IRMの仕組み自体はずいぶん前からあるが、普及の妨げになってきたのは、認証サーバが必要であるということである。IRMの優れた点は、ファイルを開くときに認証を必要とするということで、ファイルをコピー、配布した後に、後追いでアクセス権限を削除し、見えなくすることができるという点である。しかし、そのためには組織内の管理には組織の認証サーバの情報を利用すればよいが、組織外のユーザを認証するには、個々にユーザを作成して管理しなければならない。そのため、利用範囲が限られることになっていた。それに変化の兆しが見えるのは、クラウドサービスの台頭である。

Microsoft は、Office 365 Subscription で利用できるIRMである、Azure Information Protection を提供している。細かい機能は、Microsoftの解説に譲るが、認証サーバとして、Azure AD を使用するものだ。Office 365 の法人向けサービス、大学・教育機関向けOffice 365、Cloud serviceとしての Microsoft Azure の利用者のユーザ管理は、Azure ADで行われている。既存の組織で、Active Directoryをユーザ認証に利用している場合、その情報をAzure ADに同期して利用する。すなわち会社や組織のアカウントで認証できるということだ。

もちろん、IRMで保護されたドキュメントを作成するためには、ライセンスが必要だが、そのドキュメントを開くだけであれば、有効なAzure ADで管理されているユーザIDがあれば、無償でプラグインが提供されている。これによるMicrosoftによる寡占的支配の問題は、別稿に述べてあるが、実質的にOfficeドキュメントに関するトレーサビリティを担保するということにおいてはやむなしとも思われる。

この認証をAzure ADによって認証を行うという点では、実際に日常的な情報共有においては、共有サーバを利用することにも利便性を提供する。Office 365 は中核となるのは、Sharepoint という文書管理サーバシステムである。Sharepoint は、サイト、サブサイトという、チーム、プロジェクトごとにメンバーを設定し、ドキュメントの管理を行うことができるシステムである。簡易的なSNS機能や、スケジューラなどが備わっていて、共同作業を行うためのプラットホームとしての機能が提供されている。Microsoft Office と一体運用が可能になっており、Officeドキュメントのバージョン管理機能なども備わっている。オンプレミスでの運用では、自組織内のADサーバでの認証となるので、組織内のメンバーだけでしか利用できないわけだが、これがクラウドサービスでは、Sharepointサイトに他組織に所属するAzure ADのユーザを招待するということが可能となっている。Sharepointは、クラウドファイルシステムとして知られている OneDriveのバックエンドにもなっており、Webアクセスでのユーザインターフェースを提供する。IRMもSharepointサーバによって管理、設定され、Sharepointサーバから外へファイルを持ち出す場合の制限となる。

この機能のインパクトが日本ではあまり取り上げられていないように思えるが、やはり日本では他の組織の内部にまで踏み込まないという抵抗感があるのだろうか?

情報の管理のためには、できることならコピーをしないほうがよく、必要な時に必要な認証済みユーザがアクセスするというほうが望ましいことは言うまでもない。その点で、各組織が管理している認証情報を、クラウド上で相互利用でできるというのは、高い安全性を確保しつつ、共同作業を行う環境として相応しいだろう。メールでファイルを送ることに比べて、格段に高いトレーサビリティを得られると言える。

もう一つ、ドキュメントの保全という意味では、電子署名を使用することが望ましい。IRMは、作業途中のドキュメントについて、トレーサビリティを実現する手法である。これに対して、電子署名、および組み込みタイムスタンプについては最終版のドキュメントの発行の際に使うものとなる。電子署名によって、ドキュメントの改変、改竄を行うことができなくなる。公開鍵暗号系(電子証明書)を用いた暗号化を併用することができるが、送信者、受信者の公開鍵をあらかじめ交換する必要があるので、この部分はIRMを利用するほうが扱いやすいと思われる。また、タイムスタンプサーバとして、SEIKOサイバータイムなどの認定サーバを利用すると、いわゆる公証制度における確定日付と同等の効果のある、その時刻にそのドキュメントが存在していたことを証明することができる。

デジタルデータは、確かにコピーを行っても劣化しないという特徴があるが、デジタルデータであるが故のトレーサビリティを確保する手段があるので、その手段を利用すべきである。情報漏洩を出口の監視だけで防ぐことが難しい。IRMではどうしても、物理的なメディアにコピーを行わなければならない場合でも、その行先を把握することもできる。情報漏洩の実態を把握するという点でも優れた方法と言えるだろう。