110728 trust framework - akiko orita
DESCRIPTION
「信頼フレームワーク最新動向」~Open Government, Open Economy, Open Identity~ 2011年7月28日(木) http://www.openid.or.jp/modules/news/details.php?bid=41 http://www.ustream.tv/recorded/16287210TRANSCRIPT
US政府のID戦略に関するワークショップNSTIC Privacy Workshop参加報告
July 28, 2011
慶應義塾大学政策・メディア研究科 特任講師
Twitter: oritako
内容
• NSTIC概要
• Privacy Workshop at MIT, Boston 参加報告
National Strategy for Trusted Identities in Cyberspace (NSTIC)
• NIST (National Institute of Standards and Technology)によって提示された戦略文書
• 2010年6月ドラフト版 → 2011年4月 本文
– PDF 52ページ公開されている
• “Enhancing Online Choice, Efficiency, Security and Privacy”
「選択・効率性・安全性とプライバシ」
http://www.whitehouse.gov/sites/default/files/rss_viewer/NSTICstrategy_041511.pdf
NSTIC Animation Video
• http://www.youtube.com/watch?v=ATbQnT0MSlM
あたりまえになってしまったID盗難
大きな被害額、不便さ
ますます精巧に、そして増えるフィッシング
そもそも意味ないパスワード。。
Ex. 123456
いくつものパスワードを管理するコスト
いくつもいくつもアカウントを管理する。。
強いクレデンシャルの導入で侵入を46%減(国防総省)シングルサインオン導入で年間50時間/人 減
なぜ必要か? - Why we need it-
• ID盗難と不正利用
• 日常のオンライン行動:買い物、銀行、SNS、職場のイントラネットなど1. パスワードは不便だし安全ではない
2. 個人は、重大な取引の歳に自分の真のアイデンティティを証明できない
「個人と組織に、安全で、効率的で、使いやすいフレームワークを提供する。そして、信頼とプライバシ、選択とイノベーションを以てオンラインサービスにアクセスするために、相互運用性のあるアイデンティティ・ソリューションを提供する。」
“The National Strategy for Trusted Identities in Cyberspace: Why We Need It ”http://www.nist.gov/nstic/NSTIC-Why-We-Need-It.pdf より
NSTICの原則アイデンティティソリューションの要件
1. Privacy-Enhancing and Voluntary
– プライバシー保護と主体的な参加
2. Secure and Resilient
– 安全で回復力がある
3. Interoperable
– 相互運用性がある
4. Cost-Effective and Easy to Use
– 安価で簡単に使える
NSTICのビジョン
個人や組織が、安全で、効率的で、簡単で相互運用性があるアイデンティティソリューションを利用して、
信頼性、プライバシー、選択、イノベーション を
促進する形で、オンラインサービスにアクセスできる
ユーザを中心とした、Identity Ecosystem
Identity Ecosystem個人や組織が、安心・簡単にオンラインサービスを利用するためのユーザ中心のエコシステム
NSTICのゴールと目標
1. 包括的なIdentity Ecosystemフレームワークの開発
1. 強化されプライバシ保護機構の確立
2. 定義されたリスクモデルを前提とした包括的なidentification&autentication標準の確立
3. Identity Ecosystemへの参加者の責任(responsibility)の定義と責務(accountability)を提供する機構の確立
4. 標準化の運営委員会の設立とプロセスの加速
2. Identity Ecosystemの構築と実行
3. Identity Ecosystemに対する信任と参入しやすさの促進
4. Identity Ecosystemの長期的な成功と持続性の確保
NSTIC Workshop
• 第1回– Governance– 2011年6月9日〜10日, ワシントンD.C.
• Identity Ecosystemにおけるガバナンスの理解を深める• 得られる利益や期待に対して理解するための基礎をつくる• フォーカスする分野を特定し、NPOと運営側のガバナンスモデル・構造に基づいて協働する
• 政府の立場から運営委員会の要件を述べる/参加者の立場から要望を聞く• 運営主体の立ち上げにおける政府の役割について理解する
• 第2回– Privacy– 2011年6月27日〜28日, MITメディアラボ(ボストン)
• 第3回(予定)– Technology– おそらく西海岸
NSTIC Privacy Workshop (2011/6/27-28)
• MIT メディアラボにて2日間にわたって開催
– 参加費20ドル
– 参加者およそ140人(政策、産業、学界など)
– ネット中継あり。Twitterの書き込みも推奨される
• プログラム構成
基調講演
NSTICの背景とWS概要
パネル:実践的プライバシ事例紹介と議論
グループ討議(Breakout Session)
2日目のゴールについて
パネル:プライバシ強化技術、ユーザビリティ、エンドユーザエクスペリエンス
グループ討議(Breakout Session)
まとめ
まとめ
1日目(6/27)
2日目(6/28)
NSTIC Privacy Workshopがめざすもの
• NSTICの実行にあたり、関係者からプライバシに関連するフィードバックを得るのが目的
• 全体予算は$ 24.5million、ここからパイロットプロジェクトを始める
• 議論のトピック:プライバシ保護について– 制度
– プライバシ保護のガイドライン
Identity Ecosystemを前提に、きちんと動くものにするにはどうするか
• 前面では、明確でわかりやすく、使いやすいもの
• バックエンドでは、責任(accountability)を持ち、効果を測定してIdentity Ecosystemを評価できるように
Workshopから
• 個人情報保護からプライバシ保護へ– 既存の規制は、データの種類に対するもの
– プライバシの定義が国ごとに異なる
– 規制のつじつまがあわない?!
• NSTICの原則– 必要な属性だけを供給し、個人の同意無しに属性を連携させない
– 匿名性(anonymity)と仮名性(pseudonymity)をサポートする
• ビジネスに利益がないと動かないのでは?(指摘)
• 国民ID制度を実施した国が、NSTICに関心を持ってコンタクトしてきている– 相互運用性をデザインする早期から関わりたい
誰でも参加できる
• 質問・コメントは誰でもOK– マイクが一本、その前に並ぶ (IETF方式?)
– 中継&Tweetあり
• 車座になって Breakout Session(複数会場)– 明確な結論を出すことが目的ではない
– 何を議論したか、報告はする
• アクティブな休憩エリア– 別のSessionが走っていたり
– その場でデモをしたり
– 関連組織の名前を紙に書いて、壁に
貼っていく
参加して
• 必ず名前が挙がるのは、GoogleとFacebook
• 匿名性 (anonymity)と仮名性(pseudonymity)の区別
– 識別ができないこと(unlinkability)と、Legal Nameの秘匿は違うもの
– プライバシ保護とは何を守るものか
• プライバシの定義が共有しきれていない
– 確認せずに議論を始めると混乱• Facebookで写真やプロフィールを公開することが「嫌だ」という話なのか?
• 多少的外れであっても発言する!