クラウドデータの安全な保存技術（その２）

2016年 7月 8日

馮朝勝：四川師範大学コンピューター科学学院教授、
電子科技大学コンピューター科学・エンジニアリング学院

1971年生まれ。ポストドクター、教授。修士課程指導教官。中国コンピューター学会(CCF)シニア会員。主な研究分野はクラウドコンピューティング、プライバシー保護、データセキュリティ。

秦志光：電子科技大学コンピューター科学・エンジニアリング学院教授

1956年生まれ。博士、教授。博士課程指導教官。今後の研究分野は情報セキュリティ、分散コンピューティング。

袁丁：四川師範大学コンピューター科学学院教授

1967年生まれ。博士、教授。主な研究分野はデータセキュリティと暗号理論。

（その１よりつづき）

3 クラウドデータの安全な保存に関する研究の現状

　これまでの研究では、クラウドデータの安全な保存については主に暗号化保存、完全性の監査及び暗号化によるアクセス制御の3つの段階に着目している。これら3つの段階について以下のとおり検討し、現状を分析する。

3.1 クラウドデータの暗号化保存技術に関する研究

　暗号化は、クラウドに保存されたデータのセキュリティとプライバシーを保護する重要な方法の1つであることは疑いようもない。現在、クラウドデータの暗号化保存については、主にクラウドデータの安全な保存に関するフレームワークと技術を巡って研究が行われており、安全な保存に関する技術で注目されるものには、準同型暗号技術、VMMに基づくデータ保護技術、暗号化・復号に基づくデータの安全保存技術、検索に対応するデータの暗号化技術及び高信頼プラットフォームに対するデータの安全保存技術がある。

3.1.1 クラウドデータの安全保存に関するフレームワーク

　マイクロソフトリサーチのKamaraら[7]は、パブリックデータ向けの暗号化保存フレームワークを発表した。図4のとおり、このフレームワークにおいてはデータ処理DP、データ検証DV、トークンバケット生成TG及び認証生成CGがコアとなるコンポーネントであり、これらのコンポーネントはデータ所有者の信頼可能エリアで機能する。データ処理コンポーネントは、クラウド上に保存されたデータに対するチャンク処理、暗号化、コード化等の操作を行う。トークンバケット生成コンポーネントはデータブロックに対するアクセストークンの生成を行い、クラウドストレージサービスはユーザーの提供によるトークンから抽出された対応する暗号文データに基づく。認証生成コンポーネントは、認証ユーザーに対するアクセス認証の生成を行う。アクセスが認証された際は、データ所有者は共有ファイルのトークンと認証を認証ユーザーに送信する。認証ユーザーはトークンを使用してクラウド上から共有ファイルの暗号文を受け取り、認証を使用してファイルを復号する。このフレームワークの主な特徴は2つあり、すなわち、データは所有者によって制御されることと、データのセキュリティは暗号化メカニズムによって保証されることである。このフレームワークによって、データ保存におけるプライバシー問題とセキュリティ問題が解決される上に、データアクセスの合法性、訴訟及び電子証拠収集等の問題も解決されるが、このフレームワークはマクロ次元でのモデルに過ぎず、具体的な実施方法は提示されていない。

図4 パブリッククラウド向けの暗号化保存のフレームワーク[7]

　文献[8]は、分散型クラウドストレージにおける安全なデータ保存のフレームワークを掲示している。このフレームワークでは情報拡散方法、分散型保存管理、データの自己回復等の技術を採用し、データの安全保存に関する管理と送信をレイヤー別に実現している。この方法では定期的にデータ片の損傷状況を検査し、データに損傷がある場合には、互いに冗長な保存設備のデータに基づいて回復を行うことで、データの可用性を向上させる。データの保存から送信に至るまで、全ての段階で対応する保護措置を構築し、クラウドストレージのレイヤーと他のレイヤー間との安全措置を講じることで、データの効果的な保護方法を実現している。しかし、このフレームワークでは、如何にデータの完全性を保証するかについては説明がないため、データがデータ片に分解されるとデータのプライバシーとセキュリティの確保が難しい。

3.1.2 クラウドデータの安全保存技術

(1)準同型暗号技術

　準同型暗号とは暗号化技術の1つであり、この技術を利用すれば、平文に対する指定の代数的演算結果が実現可能となる。この演算結果は、暗号文上の別の代数的演算（異なる演算の可能性もある）の結果と同等である⑥。準同型暗号のこの特性によって、クラウドコンピューティングが直面するデータ保存のパラドックスが解決できる。準同型暗号の考え方は準同型暗号を用いたプライバシー保護（privacy homomorphism）に基づいており、復号関数を知らない前提での暗号化データに対する計算に対応している。S及びS′がそれぞれ平文空間と暗号文空間であり、a,b∈S,EはS→S′上の暗号化関数であると仮定する。PLUS及びMULTアルゴリズムが存在するなら、以下の数式を満たすことができる。

E(a+b)=PLUS(E(a),E(b))

E(a×b)=MULT(E(a),E(b))

　このようにすれば、a及びbの値を知らなくても、E(a)及びE(b)の値を利用してE(a+b)及びE(a×b)を計算することができ、それぞれ加法準同型暗号と乗法準同型暗号を満たすと言える。ある暗号化関数について、加法準同型暗号と乗法準同型暗号を同時に満たすことができる場合は、完全準同型暗号関数という。そうではなく、加法準同型暗号（例えばPaillierアルゴリズム）と乗法準同型暗号（例えばRSA）のどちらかを満たす場合には準同型暗号関数という。しかしながら、完全準同型暗号関数の設計は非常に難しい。2009年にIBMは、完全準同型暗号化方式を実現した旨の研究成果を発表した。研究者のCraig Gentryは「イデアル格子」（ideal lattice）と呼ばれる数学的対象を利用し、暗号化データの十分な操作性を実現した[9]。このモデルには全体で3つの重要な段階がある。第1段階は制限のある準同型暗号アルゴリズムの構築である。このアルゴリズムは暗号文の無限小・多項式演算に対応する。第2段階は、復号操作を「分解」して、より小さな分枝操作とすることである。この分枝操作によって無限小・多項式演算が示される。第3段階は、「ブートストラップ」を利用して、制限のある準同型暗号アルゴリズムを完全準同型暗号化アルゴリズムに変えることである。しかし、この方法は暗号文の処理効率が非常に悪いため、実用にはまだ時間がかかる。

　文献[10]においては準同型暗号アルゴリズムが設計された。このアルゴリズムは、ベクトルと行列を運用した各種演算によってデータの暗号化と復号を実現し、かつ、暗号化した文字列のあいまい検索と暗号文データに対する加法、減法、乗法、除法の4つの数学的演算に対応している。このアルゴリズムによる準同型加法・減法演算は効率が高いが、暗号文検索と準同型乗法・除法演算の際は効率が低く、かつ、演算コストはベクトル次元の増加に伴って増える。

(2)VMMに基づくデータ保護技術

　クラウド環境における仮想マシン操作は仮想化プラットフォーム上で行われること、かつ、それは仮想マシンモニターリングシステム又は仮想マシンモニター（VMM）によって管理されることに鑑み、文献[11]では、VMMに基づくクラウドデータの機密性保護方法が提示された。図5で示すように、この方法ではSSLに基づいてデータ送信の安全性を保証し、Daoli安全・仮想マシンモニターリングシステムを利用してデータ保存の安全性を保護している。データはクラウドに送信される前に、ユーザー側のSSLモジュールによって暗号化される。クラウド側の操作システムがユーザーの暗号化データを受信した後に、暗号化データを分散式ファイルシステムに送信すると、分散式ファイルシステムのSSLモジュールはデータを復号して処理する。ユーザーはデータを分散式ファイル保存システムに保存したい場合は、仮想マシンモニターリングシステムによって保存前にデータが暗号化される。逆に、ユーザーが分散式ファイル保存システムのデータを閲覧したい場合には、仮想マシンモニターリングシステムによってデータの復号が行われる。この方法の特徴は、クラウド側の操作システムと分散式ファイルシステムを隔離し、データの暗号化・復号は仮想マシンモニターリングシステム内で完了するため、操作システムとユーザーデータの隔離が実現されることにある。操作システムについて言えば、データは一貫して暗号化されているため、仮想マシンの操作システムが攻撃を受けても、攻撃者が入手できるのは暗号化データのみであり、メモリに保存されたデータとハードディスク上のデータのセキュリティと機密性は保証される。この方法によって、マルチテナント環境においてもプライベートデータが他のユーザーに漏洩されないことが保証されるが、クラウドサービスプロバイダーには依然として漏洩される可能性がある。

図5 Daoli・仮想マシンモニターリングシステムに基づくデータの安全保存モデル[11]

(3)暗号化・復号に基づくデータの安全保存技術

　パブリッククラウドに保存されたデータは、一般に外部データと言う。外部データのセキュリティの確保については、従来の暗号化・復号技術に基づく研究が多くなされている。文献[12]は、プロキシ再暗号化方式に基づくデータの分散式安全保存方法を提案している。データ所有者は対称内容の暗号鍵を使ってファイルの内容を暗号化し、それからマスター公開鍵を使って全ての内容の暗号鍵を暗号化し、マスター秘密鍵を持った所有者のみがこれらの内容の暗号鍵を復号できる。データ所有者はマスター秘密鍵とユーザーの公開鍵を使ってプロキシ再暗号化の暗号鍵を生成する。半信頼サーバーはプロキシ再暗号化方式の秘密鍵を使用して暗号文を指定の認証済みユーザーが復号できる暗号文に変えることで、アクセス制御を実現する。この方法の主な問題は、悪意あるサーバーと任意の悪意あるユーザーが結託すれば、全ての暗号文データの復号用秘密鍵の脆弱性を計算でき、データセキュリティに著しい脅威をもたらすことだ。このほか、ユーザーのアクセス権が保護されないことも、この方法の明らかな欠点である。文献[13]は、暗号鍵を導き出す方法に基づく、非信頼サーバーのデータの安全保存方法を提示した。全てのファイルについて対称鍵を用いて暗号化を行い、全てのユーザーはそれぞれ秘密鍵を所有する。認証を与えるために、データ所有者は認証済みユーザーのためのパブリックトークンを構築する。認証済みユーザーは自身の秘密鍵を利用してトークン内から指定ファイルの復号用暗号鍵を導き出すことができる。サーバーはトークンを所有するとは言え、トークンから復号用暗号鍵を導き出すことはできない。この方法の欠点は、ファイル作成操作とユーザーの認証/抹消の複雑さとユーザー数が線形的関係にあることであり、これが理由でシステムの規模拡大が難しくなっている。文献[14]では、非信頼サーバー上におけるファイルの安全な保存を目的とした、ファイル暗号化システムPlutusが設計された。このシステムは、属性の相似性共有に基づいてファイルをグループ分けし、各グループはロックボックスキーと呼ばれる対称鍵と関連を持つ。ファイルブロックの暗号鍵を使用してファイルを暗号化し、さらにファイルが所属するグループと関係するロックボックスキーを使用してファイルブロックの暗号鍵を暗号化する。ファイル所有者が文章を他の人と共有したい場合には、ファイルが所属するグループのロックボックスキーを共有ユーザーに送りさえすればよい。ただし、秘密鍵管理の複雑さはファイルグループ数と正比例の関係にあるため、システムの規模拡大は非常に難しい。文献[15]は、クラウド環境における外部データの安全な保存とアクセス制御方法を提示した。データの保存効率を向上させるためにデータのチャンク処理を行い、データブロックのセキュリティを保証するために複数の異なる秘密鍵を採用してデータブロックを暗号化した。この方法の欠点は、データの暗号化と暗号鍵の管理にデータ所有者が大きなコストを払わなければならない点にある。文献[16]では、SiRiUSを採用したシステムが実現された。このシステムの構築によって、既存のNFS(Network File System)のようなファイルシステム上で、端末から端末への転送の安全性を確保できる。アクセス制御の実現のために、全てのファイルにはメタファイルが分配される。メタファイルにはアクセス制御一覧表が含まれ、一覧表の各項目には認証済みユーザーの公開鍵暗号化ファイルの暗号鍵が保存されている。このシステム拡張バージョンでは認証済みユーザーの公開鍵暗号ファイルの暗号鍵を採用せず、NNL(Naor-Naor-Lotspiech)放送型暗号アルゴリズムによるファイルの暗号鍵を採用した。NNLにおけるユーザー権利抹消アルゴリズムの複雑さは抹消ユーザー数と正比例の関係にあることから、このシステムの複雑さは元のファイルの大きさと暗号化による負荷と正比例の関係にある。このため、システムの規模拡大は難しい。

(4) 検索に対応するクラウドデータの暗号化保存技術

　データがクラウドデータセンターに送信される前に暗号化すれば、データセキュリティとプライバシーを確保することができるが、データ検索が難しくなるという問題が生じる。前述のように、データ所有者がデータの暗号鍵を検索ユーザーに伝えないとデータ検索は難しくなるが、暗号鍵を知らせればデータセキュリティは保証されない。また、一般的な暗号化方法で暗号化した場合には、往々にして索引を構築できないため、効率的な検索は不可能となる。この問題に対して、検索に対応するデータ暗号化方法[17]、検索可能暗号（Searchable Encryption, SE）が提案された。SEを使用した場合は、ユーザーは検索キーワード又は検索条件をクラウドの検索サーバーに送信すれば、検索サーバーは索引内で検索キーワードに適合した条件のデータを見つけ出し、検索結果をユーザーに返送する。検索プロセス全体を通じて、暗号化されたデータは復号されず、検索ユーザーもデータの暗号鍵又は復号鍵を知る必要はない。SEでは、入力される検索キーワードにはいかなる誤りもなく、かつ、規定された統一フォーマットを遵守することが要求される。また、SEは「ブーリアン型」検索にしか対応せず、関連性に基づく序列のある検索には対応しないため、クラウドストレージ環境で保存されるファイル検索へのSEの直接の実用には、次の2つの問題がある。①ユーザーは返送される全てのファイルを一つ一つ開かないと、ファイルと検索キーワードとの関連性を確認できない。②全てのファイルを返送すること（しかも、そのほとんどはユーザーが必要としないファイルである可能性がある）によって、ネットワーク流量が大幅に増え、ユーザーの経済的負担が増加する。

　SEにおいては、入力される検索キーワードは正確であり、かつ、フォーマットが規定に適合することが要求されるという問題があるため、文献[18]は、クラウド暗号化データに対するあいまい検索の方法を提案している。この方法では、入力される検索キーワードが正確であることも、厳しいフォーマットも要求されない。検索の際は、まずは完全一致検索を行い、それが失敗した場合にはあいまい検索に切り替える。このモデルでは検索キーワードの集合から、検索キーワードと最も相似したキーワードを検索キーワードとして検索を行う。検索の際は、キーワードをあらかじめ生成させたあいまいキーワードの集合とマッチングさせるため、暗号化ファイルは復号の必要がなく、ファイルのセキュリティは保証される。しかし、この方法も「ブーリアン型」検索にしか対応していない。関連性に基づく序列のある検索を実現するために、文献[19-20]において、順位づけキーワード検索に対応したクラウドデータ向けの暗号化方法が提案された。ここでは、「関連度」を検索索引の構築に取り入れて、順位づけキーワード検索への対応を実現し、かつ、「一対多の順位付け写像」技術を利用してセンシティブデータの「関連度」を保護することでファイルのセキュリティを確保している。この方法の欠点は、一つのキーワードによる検索にしか対応しない点である。また、重要データの「関連度」の量化モデルが正確か否かについては検証が待たれる。複数キーワードの順位づけ検索問題については、文献[21]において、複数の検索キーワードとデータファイルとの関連性を計算するのに座標マッチング原則（極力多くのマッチングを行う）が採用され、複数キーワードの順位づけ検索を実現している。検索プロセスにおいて、この方法では索引全体を横断することができるが、計算コストは比較的大きい。

(5) 高信頼プラットフォームに基づくデータの安全保存技術

　ハードウェアとソフトウェアの非信頼性も、クラウドデータの保存にセキュリティ上の課題をもたらす重要な原因である。文献[22]では、高信頼コンピューティング技術をハードウェア上の高信頼コンピューティングの基盤として、また、仮想マシンモニターをソフトウェア上の高信頼コンピューティングの基盤として、データ保護と抹消の信頼可能な道筋を示した。高信頼仮想マシンモニターはユーザーのセンシティブデータの保護を行い、かつ、ユーザーの命令に従ってデータの徹底的な抹消を行うため、クラウドサーバーの特権的管理者であっても保護メカニズムを回避して保護されたセンシティブデータを入手することはできない。この方法では、ハードウェアからソフトウェアに至るまで、そのコンピューターが信頼可能であることが要求されるが、条件を満たすのは現実には不可能なことは明らかだ。文献[23]では、可用データの保護については暗黙的パーティション化メカニズム（an implicit data partitioning scheme based on confusion）を提案し、ユーザー個人情報の保護については高信頼サーバーを基盤とするクラウドストレージのフレームワークを提案することで、データ保存とユーザーの個人情報管理の隔離を実現した。クラウドサーバーは高信頼サーバーの提供する保存用認証コードを利用してユーザーの保存権限を判断し、ユーザーの個人情報は高信頼サーバーに保存される。この方法では、可用データ保存の際に行われる二次パーティションや行列分解演算によって保存効率が低くなるため、普及は難しい。また、プライバシーデータの保護のために第三者を介入させることも、データ保存のボトルネックとなるだろう。

　表2は、以上5種類のクラウドデータ安全保存技術に関するまとめと比較である。5種類の技術の中で安全性と機能性が最も高いのは準同型暗号技術であるが、まだ理論研究段階にある。すでに発表されている準同型暗号を用いたプライバシー保護アルゴリズムは暗号文の処理効率が非常に低いため、実用ニーズを満たすことはできない。また、暗号化の位置も無視できない問題である。暗号化がユーザー側で行われる場合はデータセキュリティが保証されるが、ユーザーの計算負荷が大幅に増え、クラウドプラットフォームの強大な計算能力が充分に活用されない。逆に暗号化がクラウド側で行われる場合はクラウドプラットフォームの計算能力は充分に発揮されるが、ユーザーデータはクラウドサービスプロバイダーに漏洩される可能性がある。このため、2重の暗号化方法が提案されている。その第1層目の暗号化はユーザー自身で完了させるが、暗号化の負担を減らすために、例えばファイルの暗号化処理に軽量レベルの暗号化方法の採用を検討しても良く、その例としては、ファイルのプライバシーをパーティションし、その結果発生したファイルに基づいてファイルを再構築し、パーティションしたファイルにチャンク処理を行い、暗号化したファイルによって再構築されたファイルをクラウド側に送信して強度の高い2回目の暗号化を行う、というものがある。ビッグデータについては、クラウドではMapReduceによる並列処理モデルを充分に活用して、大量のデータに対する迅速な暗号化を実現することができる。

表2 クラウドデータの安全保存技術における安全性の比較
技術名	技術の特徴	演算対応能力	暗号化位置	送信の安全性	内部保存の安全性	外部委譲の安全性	主な問題
準同型暗号	平文上の代数演算結果は暗号文上の別の代数演算結果と一致	全ての演算に対応	ユーザー側	完全に解決	完全に解決	完全に解決	暗号文の処理効率が低い
VMMに基づくデータ保護技術	操作システムとファイルシステムは暗号文しか見ることができない	対応しない	VMM	一部解決	一部解決	一部解決	特権ユーザーはユーザーデータの復号が可能。VMMの負荷増。
暗号化・復号に基づくデータ保存技術	従来型の暗号化技術を採用	対応しない	ユーザー側	完全解決	未解決	一部解決	安全メカニズムは複雑な上に安全上の懸念がある。時空間コストが過大。
検索に対応する暗号化保存技術	暗号化アルゴリズムは暗号文検索に対応	検索のみ対応	ユーザー側	完全に解決	完全に解決	完全に解決	加減乗除等の基本的な演算に対応しない。
高信頼プラットフォームに基づく安全保存技術	ハードウェアとソフトウェアのいずれも信頼できる	全ての演算に対応	VMM	一部解決	一部解決	一部解決	特権ユーザーはユーザーデータを復号可能。信頼条件を満たすのが難しい。VMMの負荷増。

（その３へつづく）

参考文献

[7] Kamara S, Lauter K. Cryptographic cloud storage//Proceedings of the 14th International Conference on Financial Cryptography and Data Security.Berlin,Germany,2010:136-149

[8] Bian Gen-Qing, Gao Song, Shao Bi-Lin. Security structure of cloud storage based on dispersal. Journal of Xi'an Jiaotong University,2011,45(4):41-45(in Chinese)( 辺根慶、高松、,邵必林。分散式クラウドストレージ向けの安全なフレームワーク。西安交通大学学報,2011,45(4):41-45)

[9] Gentry C. Fully homomorphic encryption using ideal lattices//Proceedings of the 41st ACM Symposium on Theory of Computing. New York,USA,2009:169-178

[10] Huang Ru-Wei, Gui Xiao-Lin, Yu Si, Zhuang Wei. Privacy preserving computable encryption scheme of cloud computing. Chinese Journal of Computers,2011,34(12):2391-2402(in Chinese)( 黄汝維、桂小林、余思、庄威。クラウド環境におけるプライバシー保護に対応する計算可能な暗号化方法。コンピューター学報,2011,34(12):2391-2402)

[11] Hou Qing-Hua, Wu Yong-Wei, Zheng Wei-Min. A method on protection of user data privacy in cloud storage platform. Journal of Computer Research and Development,2011,48(7):1146-1154(in Chinese)(侯清鏵、武永衛、鄭緯民。クラウドストレージプラットフォーム上のユーザーデータの機密性保護に関する方法。コンピューター研究及び発展,2011,48(7):1146-1154)

[12] Ateniese G, Fu K, Green M, Hohenberger S. Improved proxy re-encryption schemes with applications to secure distributed storage. ACM Transactions on Information and System Security (TISSEC),2006,9(1):1-30

[13] Vimercati S, Foresti S, Jajodia S, et al. Over-encryption: Management of access control evolution on outsourced data//Proceedings of the 33rd International Conference on Very Large Data Bases.Vienna,Austria,2007:23-134

[14] Kallahalla M, Riedel E, Swaminathan R, et al. Plutus: Scalable secure file sharing on untrusted storage//Proceedings of the 2nd Conference on File and Storage Technologies. San Francisco, USA,2003:29-42

[15] Wang W, Li Z, Owens R, et al. Secure and efficient access to outsourced data//Proceedings of the ACM Workshop on Cloud Computing Security.Chicago,USA,2009:55-66

[16] Goh E, Shacham H, Modadugu N, Boneh D. Sirius: Securing remote untrusted storage//Proceedings of the Internet Society Network and Distributed Systems Security. San Diego, USA,2003:131-145

[17] Song D, Wagner D, Perrig A. Practical techniques for searches on encrypted data//Proceedings of the 2000IEEE Symposium on Security and Privacy.Berkeley,USA,2000:44-55

[18] Li Jin, Wang Qian, Wang Cong, et al. Fuzzy keyword search over encrypted data in cloud computing//Proceedings of the INFOCOM 2010Mini-Conference.San Diego, USA, 2010:1-5

[19] Wang Cong, Cao Ning, Li Jin, et al. Secure ranked keyword search over encrypted cloud data//Proceedings of the 30th International Conference on Distributed Computing Systems. Genoa, Italy,2010:253-262

[20] Wang Cong, Cao Ning, Ren Kui, et al. Enabling secure and efficient ranked keyword search over outsourced cloud data. IEEE Transactions on Parallel and Distributed Systems, 2012,23(8):1467-1479

[21] Cao Ning, Wang Cong, Li Ming, et al. Privacy-preserving multi-keyword ranked search over encrypted cloud data//Proceedings of the IEEE INFOCOM 2011.Shanghai,China,2011:829-837

[22] Zhang Feng-Zhe, Chen Jin, Chen Hai-Bo. Lifetime privacy and self-destruction of data in the cloud. Journal of Computer Research and Development,2011,48(7):1155-1167(in Chinese)( 張逢喆、陳進、陳海波。クラウドコンピューティングにおけるデータのプライバシー保護及び自己破壊。コンピューター研究及び発展,2011,48(7):1155-1167)

[23] Mao Jian, Li Kun, Xu Xian-Dong. Privacy protection scheme for cloud computing. Journal of Tsinghua University(Science & Technology),2011,51(10):1357-1362(in Chinese)( 毛剣、李坤、徐先棟。クラウドコンピューティング環境におけるプライバシー保護方法。清華大学学報(自然科学版),2011,51(10):1357-1362)