本論文は、ユビキタス・コンピューティングにおけるプライバシーの問題を解決するアクセス制御方式、及び、そのデジタルコンテンツ流通への応用に関する研究結果を報告するものである。また、本研究は、経済産業省商務政策局「平成17年度新世代情報セキュリティ研究開発事業」及び「平成18年度新世代情報セキュリティ研究開発事業」の研究として行われた。

ユビキタス・コンピューティング(Ubiquitous Computing)という用語は、米Xerox社PARC研究所のMark Weiserによる論文「The computer for the 21st Century」(Scientific American, 1991)に由来する。この論文において、Weiserは、日常使用するあらゆる器具・機器に「見えない形で」コンピュータを組み込むことにより、ユーザに特別なコンピュータ・リテラシを要求することなく、コンピュータの効用を最大限に活用できると主張した。「Ubiquitous」とは、ラテン語で「遍在」を意味する。Weiserのこの考え方は、当時精力的に研究されていた人工知能(Artificial Intelligence)やバーチャルリアリティ(Virtual Reality)に対する強烈なアンチテーゼと受け止められ、命名の妙もあって、瞬く間にIT研究者の耳目を集めるところとなった。爾来、ユビキタス・コンピューティングは、IT技術の一つの集大成と目され、長年にわたる熱心な研究の対象となってきた。

近年の携帯端末の高機能化、移動体通信の広帯域化、無線LANによるホットスポットの普及など、コンピュータの利用環境の著しい進化に伴い、ユビキタス・コンピューティングは、いよいよ、研究室を飛び出し、実用化への道を歩み始めている。総務省においても政策懇談会が設置され、「u-Japan政策」として、ユビキタス社会の実現に向けた提言がなされており、社会的な観点からも、ユビキタス・コンピューティングの実現が望まれている。

技術的に見ると、ユビキタス・コンピューティングとは、環境にネットワーク化されて埋め込まれた数多のコンピュータ群(センサー・ネットワーク)と、個人が携行するコンピュータ(ユーザ端末)との間の協調のためのアーキテクチャであり、ユーザに対して「シームレス」にサービスを提供することを目的とする。

「シームレス」とは、ドメイン間で機器やネットワークの構成が異なること、ドメインが各々独立のポリシーに支配されることとを前提とした上で、ユーザが複数のドメインの間を移動する場合においても、ドメインの違いをユーザに意識させること無く、継続的にサービスを提供する状態を指す。シームレスなサービス提供を実現するためには、ユーザが携行するコンピュータ(ユーザ端末)と環境中のコンピュータ(センサー・ネットワーク)とが不断に交信する必要がある。そして、ユーザ端末とセンサー・ネットワークの間の通信は、必要でない限り、ユーザを煩わせない、即ち、ユーザの目から隠蔽されて実行されることが求められる(透過性)。ユビキタス・コンピューティングにおけるプライバシーの問題は、センサー・ネットワークとユーザ端末とが透過的かつ不断に通信するアーキテクチャに由来し、ユーザによるサービスへのアクセスが検閲者によって追跡される脅威を指す。即ち、健全なユビキタス・コンピューティングの実現のためには、アクセス制御における追跡の防止は、避けて通れない問題である。本稿では、「ユビキタスアクセス制御」という言葉で、健全なユビキタス・コンピューティングにおけるアクセス制御を指すこととする。

本研究は、上記の問題意識に基づいて実施され、下記に述べる成果を報告する。

●　プライバシーと公知との境界は、適用コンテクストによって動的に変化することは、広く認識されている (「Unpacking "privacy" for a networked world」, Palen and Dourish, 2003)。従って、ユビキタスアクセス制御においても、正しいプライバシーと公知の境界を定義する必要がある。本論文では、この問題に対する解として、Consensual Disclosureの考え方を提案する。Consensual Disclosureは、サービスへのアクセスが透過的に行われるユビキタス・コンピューティングの環境では、インフラストラクチャにおいては完全な追跡不能性が保証され、ユーザの明示的な同意なしには、一切の追跡情報が漏洩しないことを要求する。逆にいえば、環境の要請に対しユーザが明確な同意を与えた場合に限り、環境は、追跡情報を取得し、資源や社会の安全等の用に供することができる。

●　追跡不能とConsensual Disclosureとを実現する具体的な認証方式を提案する。

追跡不能性を有する認証方式としては、グループ署名技術が知られている。しかしながら、グループ署名は、計算量が大きく、高頻度のアクセスイベントが発生するユビキタスコンピューティングに適用するには欠点があると思われる。しかも、認証とアクセス制御の統合等、ユビキタスコンピューティング固有の要求に応えて機能を追加すると、更に、計算量が増加すると考えられる。

本研究では、グループ署名ではない通常の高速な署名方式における鍵管理方式を工夫することで、追跡不能性とConsensual Disclosureを満足し、かつ、高速な認証方式を考案した。認証処理の計算量を楕円曲線上のスカラー倍演算の実行回数に換算して比較すると、20倍〜7倍程度の改善を得られることが分かった。

●　本研究で提案する追跡不能認証方式は、証明可能な安全性を有している。方式が証明可能であるとは、広く受け入れられている暗号学的仮説にその方式の安全性が論理的に帰着されることを指し、近年、暗号アルゴリズム等を提案する際には、証明可能な安全性を示すことが求められる。

本研究では、後述するユビキタスアクセス制御の要件を機能として満足するために、併せて13の基本的プロトコルを提案するが、その全てに対して、上記の意味での安全性の証明を与える。

●　認証とアクセス制御の統合等、ユビキタス・コンピューティングには、固有の要求があることが知られているが、アクセス制御の観点からこれらを網羅的に整理した事例は存在しなかった。本研究では、13項目の要件項目に整理し、それらの要件をサポートするユビキタスアクセス制御のためのプロトコルを提案する。このプロトコルは、前記の追跡不能性とConsensual Disclosureを満足する効率的な認証方式をベースとし、要件をサポートするために機能を追加するに当たって、計算量の大きな暗号処理を共有する工夫を行うことで、効率的なプロトコルとなっている。

●　本研究では、前記プロトコルに対して、相互運用のためのメッセージ規定としてUACML (Ubiquitous Access Control Message Layer)を提案する。UACMLは、既存の公開鍵基盤に準拠し、また、データリンク層からセッション層における通信において追跡不能性を実現するための既存の技術との相互接続性を有するように設計される。UACMLでは、交換されるメッセージの構文、意味(セマンティクス)、符号化方式を紛れなく規定することにより、ドメインを横断した相互運用性を実現する。

●　ユビキタスコンピューティングの特徴を最もよく反映したサービス例として、デジタルコンテンツ流通がある。本研究ではユビキタス・アクセス制御の要件を整理するにあたり、特に、網羅性を確保するために、デジタルコンテンツ流通への適用を指標としつつ、作業を進めてきた。一方、デジタルコンテンツ流通は、現実のアプリケーションとしても非常に重要であり、また、ユビキタス・コンピューティングの普及に当たってはインパクトが大きいことも事実である。従って、本研究で提案する方式を実際にデジタルコンテンツ流通に適用することにも意義を見出すことができる。しかしながら、現実の適用のためには、よく知られた「コンテンツ保護」と「決済・著作権処理」の相互接続の問題を解決する必要がある。本論文の最後では、ブリッジレイヤによる、この問題の解決法を示した。

現在、本研究で提案したプロトコルのプロトタイプの実装を進めており、プロトタイプを利用して、下記の課題を検証していく計画である。

●　実運用に近いテスト空間における認証速度の実測

●　ローミング技術やサービス探索技術等、ユビキタス環境における他の技術との整合性

　本論文は、「安全性が証明可能な追跡不能アクセス制御プロトコルとデジタルコンテンツ流通への応用に関する研究」と題し、ユビキタス社会におけるユーザの行為の追跡の脅威を問題として捉え、この問題の解決として、ユビキタス社会の観点から整理した要件を満足するアクセス制御共通基盤の構築が必要かつ有効であることを主張するとともに、その具体的な実現方式を提案する。本論文の新規性として顕著な部分は、第一にユビキタス社会におけるアクセス制御基盤の要件の整理を他に先駆けて試みた点にあり、第二に要件を満足するアクセス制御プロトコルを安全性に関する証明付きで提案した点にある。本論文では、上記2点の論点に加え、ユビキタス社会での適用で特に重要となる相互運用性の問題へのアプローチとしてプロトコルにおいて交換するメッセージの構文・符号化規則を規定すると共に、ユビキタス環境における重要なアプリケーションであるコンテンツ流通に適用する際の問題点とその解決の提案をも行っており、実用の観点からも深く考察されている。

　第1章では、ユビキタス社会におけるシームレスかつ透過的なサービス提供は、ユーザの行動を秘密裏に追跡するネットワーク検閲社会を生み出す危険をはらんでいることを、まず、指摘する。この問題を解決するためには、まず、プライバシーと公知との境界(boundary between private and public)を考察する必要があるが、本論文では、追跡情報の開示が必要な際には、ユーザによる明示的な同意と引き換えにサービスの提供が行われる、Consensual Disclosureの考え方が適切であると提唱する。本論文の以下の章では、Consensual Disclosureを要件のひとつとして満足する追跡不能アクセス制御プロトコルの実現がテーマとなる。

　第2章では、追跡不能アクセス制御プロトコルの提案を行うために必要となる、先行技術・関連技術の知識を整理する。まず、ユビキタスにおける広く受け入れられているトラスト管理のモデルであるDistributed Trust Managementとの整合のためには、認証とアクセス制御の統合及び権限の移譲の2項目が要件となることを指摘している。次いで、データリンク層において、追跡不能性を実現する手段について整理する。Ethernet、IrDA、NFC、非接触ICカード等の通信方式を個別に取り上げ、既存技術の枠内でデータリンク層における追跡不能性の実現が可能であることを指摘し、従って、アプリケーション層における追跡不能性が課題となることを結論として導く。更に、追跡不能認証に関する先行技術であるグループ署名のユビキタス環境への適用では、計算量に問題がある可能性を指摘し、計算量の軽減が重要な技術課題であることを示す。

　第3章では、ユビキタスアクセス制御プロトコルの実現に当たっての主要な研究課題を、追跡不能性と計算量の抑制との両立、安全性の検証(証明)、及び、ユビキタス社会におけるアクセス制御の要件のサポートの3点であるとした上で、それぞれに対する解決手法について概説する。追跡不能性と計算量の抑制の両立に関しては、通常の電子署名の公開鍵ペアの構成から複数の「アクセスID」と「残余成分」のペアを構成することによる原理を述べる。安全性に関しては、健全性、ユーザ端末のBig Brother化の回避、Consensual Disclosureの安全性に対して、定義を与える。要件のサポートに関しては、ユビキタスの特性を考慮して要件の整理が必要である点と、要件のサポートが計算量の抑制と両立することが必要であることを述べている。

　第4章では、ユビキタス環境におけるアクセス制御プロトコルが満足するべき要件を整理し、提案している。本論文で提案するアクセス制御プロトコルは、まず基礎として、認可と認証に求められる要件を満足しなければならない。本論文では、認可と認証に関する要件に加えて、ユビキタス固有の特質を考察し、(1)Consensual Disclosureに基づく追跡不能性、(2)権限発行者と検証者の分離、(3)認証とアクセス制御の統合、及び、(4)相互運用性の4項目の視点から要件を整理することが必要であるとする。その結果として、12項目の個別の要件を抽出し、ユビキタスアクセス制御において満足されるべき要件として提案を行っている。

　第5章から第7章は、それぞれ上記(1)から(3)までの視点から導出される要件を満足するアクセス制御プロトコルを具体的に定義・提案し、それぞれに対して、安全性の評価と計算量の評価とを行っている。安全性に関しては数学的な証明を与えている。

　第8章は、(4)の視点から導出される要件を満足することを目的に、UACML (Ubiquitous Access Control Message Layer)を提案している。UACMLは、第5章から第7章までのプロトコルを実現するメッセージの構文及び符号化規則の規定であり、環境側の計算機資源及びユーザの携帯端末がUACMLに準拠することにより、ドメインに依存せず相互にアクセス制御のための通信を行い、アクセス制御機能を強調して実現することを可能とする相互運用性が実現される。UACMLの設計に当たっては、下位通信層(主にデータリンク層)におけるプロトコルから独立であることに配慮すると共に、第2章でサーベイした現行技術によるデータリンク層での追跡不能性の実現では、通信の信頼性が保証されない可能性があるとの認識に基づき、UACMLにおいてメッセージの信頼性やブロードキャストによる輻輳の解決が機能として盛り込まれている。

　第9章では、デジタルコンテンツ流通への応用における課題について述べ、解決手法を提案している。デジタルコンテンツ流通は、特に音楽データを中心として急速に普及しつつあり、ユビキタス社会において真っ先に実現されるアプリケーションであると認識することができる。デジタルコンテンツ流通が直面している問題は、複数のコンテンツアーキテクチャや著作権保護機能(REL = Rights Expression Language)が乱立している現状に由来する。この課題は既に広く認識されており、RELを通信の7階層モデルにおけるIP層に見立て、REL層を介して、上位のApplication/Negotiation層と下位のEnforcement/Physical層とを連結するJamkhedkary等による階層モデルや、レンダリングフレームワークを共通のハブとして相互運用を目指すMPEG IPMP (Intellectual Property Management and Protection)等の提案が存在する。これらの提案は、現行のアーキテクチャを分解し、再構成する必要がある点で、技術的に早期の実現が困難であるとともに、コンテンツ流通市場における利益関係の調整が必要であるという問題がある。本論文では、現行のコンテンツアーキテクチャとRELとの間の橋渡しを行うブリッジレイヤを新たに設けることにより、現行アーキテクチャの構成と既存の利益関係に影響を与えない相互運用のモデルを提案している。更に、現行アーキテクチャの拡張性のモデルを分類し、モデルごとの拡張性を利用してブリッジレイヤに準拠できるレベルを考察し、安全性の限界についても評価を行っている。ブリッジレイヤでやり取りされるファイルのXML定義やブリッジレイヤのレファランスモデルを併せて提案することで、実用という観点からも具体的な提案を行っている。

　第10章の今後の課題では、提案しているプロトコルの機能及び性能を実証的に検証する項目を挙げている。本論文の研究は、経済産業省　平成17年度及び18年度新世代情報セキュリティ研究開発事業の委託研究として実施しており、本年度中にプロトタイプを作成する予定となっている。平成19年度以降に、プロトタイプの評価を行うものと期待される。

　本論文の研究は、総務省「u-Japan構想」等でも研究が進められている将来のユビキタス社会に関するものであり、特に、極めて重要な側面のひとつであるアクセス制御に焦点を当て、プライバシーを含めたアクセス制御共通基盤の要件を新たに整理している点、要件を満足する技術原理を提案している点、更に、実用に向けた考察を行い、直ちに実施可能な具体的な方式を提案している点、以上の3点において非常に意義がある研究であると考える。

　よって、本論文は博士(工学)の学位請求論文として合格と認められる。