属性ベース暗号の概要
属性ベース暗号(Attribute-Based Encryption, ABE)は、暗号化されたデータに対して「どのような条件を満たす人が復号できるか」を設定できる暗号方式です。例えば、「人事部 AND 課長」や「経理部」など、属性条件を設定し、その条件を満たす人だけがデータを復号可能とする仕組みです。これにより、特定の役職や部署の人々に限定して情報を共有することが可能になり、組織内でのデータアクセスを柔軟に制御できる点が特徴です。
従来の属性ベース暗号の課題
従来の属性ベース暗号では、ユーザーの秘密鍵を一元的に管理する「鍵生成局」がすべての秘密鍵を発行しており、全てのデータを復号可能な「マスター秘密鍵」を保持していました。このため、万が一、鍵生成局からこのマスター秘密鍵が漏洩してしまうと、システム全体のセキュリティが破られるという重大なリスクがありました。つまり、鍵生成局がシステムの単一障害点(SPOF: Single Point of Failure)となり、セキュリティ上の大きな懸念となっていたのです。
登録型属性ベース暗号の提唱
これに対して「登録型属性ベース暗号」が新たに提唱されました。この方式では、鍵生成局がなくなり、各ユーザーが自分自身で秘密鍵と公開鍵を生成します。その後、公開鍵と属性情報を「登録サーバ」に登録します。この登録サーバは、暗号化に必要な「マスター公開鍵」を生成する役割のみを担い、秘密情報は一切保持しません。つまり、登録サーバが攻撃を受けたとしてもシステム全体のセキュリティは保たれます。
登録型属性ベース暗号の課題
しかし、従来の登録型属性ベース暗号には以下のような制約があり、実用化が難しい点が指摘されていました。
- NOTを含む条件式が使用できない
- 条件式に「NOT」を含めることができず、「特定の条件を満たさないユーザーを除外する」といったアクセス制御が実現できないという制限がありました。
- 同じ属性を複数回使用できない
- 例えば、「同じ部署内で複数の条件を同時に満たすユーザー」にアクセス権を与えるといった複雑な条件式が使用できないため、実際のビジネスの運用において柔軟性に欠けていました。
NTTの新しい暗号方式の開発
今回、NTTが開発した新しい登録型属性ベース暗号方式は、これら従来の制約を克服し、より実用的なアクセス制御を可能にしました。NTTは、産業技術総合研究所と共著で発表した論文において、解析が容易な要素技術から組み立て式に作るという技法に着目することで、従来の登録型属性ベース暗号における制約を緩和し、より柔軟な条件式を使える暗号方式への変換技術を考案しました。
この変換技術を使うことで、以下の機能が実現しました。
- NOTを含む条件式の使用
- 登録型属性ベース暗号でも、「NOT」を含む条件式が使用可能となり、特定の属性を除外するような複雑なアクセス制御が可能になりました。
- 同じ属性の複数回使用
- 同じ属性を複数回使用する条件式を使うことが可能になり、より細かい条件設定が可能です。
これにより、登録型属性ベース暗号は従来の制限を超えた柔軟なシステム設計ができるようになり、企業のデータ管理やコンテンツ配信サービスにおいて、より安全かつ効率的なアクセス制御が可能になります。
実用面での期待
この新技術は、動画や音楽などのコンテンツ配信サービスにおける著作権管理や、企業の社内データアクセス管理のセキュリティを向上させ、不正アクセスやデータ漏洩のリスクを大幅に低減することが期待されています。
NTTは、さらにこの技術を発展させ、効率性や実用性を向上させる研究開発を続ける予定です。特に、変換を繰り返すことによる効率低下の課題にも引き続き取り組む方針です。
なお、この研究成果は、暗号理論に関する国際会議「第44回国際暗号学会議(the 44th Annual International Cryptology Conference)」にて発表されました。
まとめ
NTTが開発した登録型属性ベース暗号は、従来の制約を克服し、より柔軟で実用的なアクセス制御を可能にする新しい暗号方式です。この技術により、企業のデータ管理やコンテンツ配信サービスのセキュリティが向上し、今後の情報セキュリティ分野において重要な役割を果たすことが期待されています。
