LINDDUN 分析 Yoshioka & Takenouchi 2013/11/7

在学生・修了生情報 Web サーバ ユーザ 在学生情報 DB Web サーバ 認証 サーバ ID DB 大学事務 SMTP サーバ イベントの電子 メール通知 イベント情報 DB 修了生情報 DB

説明会 Web サーバ ユーザ 登録情報 DB （参加履歴） Web サーバ ID DB 大学事務 Web サーバ 統計 パッ ケージ

Privacy Threats ：説明会 LinkIdNon-RDetectDisclUnawareNon-C Data Store 登録情報 DB （参加履歴） 11XX1 ID DB 11XX1 Process Web サーバ XXXX 統計パッケージ XXXX Entity ユーザ 11X1 大学ユーザ XXX111 Data flow Web サーバ⇔登録情報 DB XXXX Web サーバ⇔大学事務 XXXX Web サーバ⇔ ID DB XXXX Web サーバ⇔統計パッケー ジ 11XX1 Web サーバ⇔ユーザ 11XX1 Web サーバ⇔大学事務 xXXX1

Likability of DataStore ( 登録情報 DB) Likability of DataStore ( 登録情報 DB) Weak access control Weak data anonymization Likability of DataStore (ID DB) Likability of DataStore (ID DB) Weak access control Weak data anonymization 「登録情報 DB 」や「 ID DB 」に登録した登録情報が、他人から Linkable や Identifiable であると プライバシ侵害になりうる Threat Tree: Linkability/Identifiability of DataStore ( 「登録情報 DB 」, 「 ID DB 」 ) Identifiability of DataStore ( 登録情報 DB) Identifiability of DataStore ( 登録情報 DB) Weak access control Weak data anonymization Identifiability of DataStore (ID DB) Identifiability of DataStore (ID DB) Weak access control Weak data anonymization

Likability of Entity ( ユーザ ) Likability of Entity ( ユーザ ) Data flow not fully protected Non anonymous communication are linked Threat Tree: Linkability/Identifiability of Entity( ユーザ ) ユーザに関する登録情報が、他人にから Linkable や Identifiable であると プライバシ侵害になりうる ※ Identitiability も同じ Threat Tree であるため省略

Likability of DataFlow (Web サーバ⇔統計パッ ケージ ) Likability of DataFlow (Web サーバ⇔統計パッ ケージ ) Data flow not fully protected Non anonymous communication are linked Threat Tree: Linkability/Identifiability of Data Flow (Web サーバ⇔統計パッケージ、 Web サーバ⇔ユー ザ ) Likability of DataFlow (Web サーバ⇔ユーザ ) Likability of DataFlow (Web サーバ⇔ユーザ ) Data flow not fully protected Non anonymous communication are linked 「 Web サーバ⇔統計パッケージ」「 Web サーバ⇔ユーザ」に流れる登録情報が、 統計パッケージ（の管理者）から Linkable や Identifiable であるとプライバシ侵害になりうる ※ Identitiability も同じ Threat Tree であるため省略

Threat Tree: Non-repudiation( 否認不可 ) 否認不可については、プライバシ上の問題は無いように思える。 竹之内メモ： LINDDUN 論文によると、否認不可（ Non-repudiation) の機能はセキュリティ上必要 になる場合があるが、場合によってはプライバシ上の問題にもなるとのこと。 【例】 否認不可（ Non-repudiation) が必要になる例： e-commerce サイトでは、購買したことを否認することを防ぐために 否認不可（ Non-repudiation) の機能は必須だろう。 否認不可（ Non-repudiation) がプライバシ上の問題となる例： off-the-recode conversation （匿名会話 ? ）のシステムでは、参加者は参加 していることを否認したい。否認不可の機能はプライバシ性を低下させる。

Threat Tree: Disclosure 9 Disclosure of 登録情報 Disclosure of 登録情報 Information disclosure of 登録情報 Information disclosure of 登録情報 セキュリ ティ脅威と 同じ

Threat Tree: Unawareness 10 Unawareness of 登録情報の利用 Unawareness of 登録情報の利用 必要以上の 個人情報を 登録 間違った登録情報 による間違った判 断 登録情報の期 限が切れてい る 目的外の個人 情報を登録 個人情報の利 用承諾がない 登録情報の変更 が反映されてい ない 期限を設定する必要 がある？？

Privacy Objectives LINDDUN threatsPrivacy Objectives Disclosure of 登録情報 Confidentiality of 登録情報 Disclosure of 大学事務 Confidentiality of 大学事務 Disclosure of Web サーバ⇔統計パッケー ジ Confidentiality of Web サーバ⇔統計 パッケージ Disclosure of Web サーバ⇔ユーザ Confidentiality of Web サーバ⇔ユーザ Disclosure of Web サーバ⇔大学事務 Confidentiality of Web サーバ⇔大学事 務 Content Unawareness of ユーザ Content awareness of ユーザ Content Unawareness of 大学事務 Content awareness of 大学事務 11 利用目的以外の利用 しないようにする