創発的相互作用セキュリティ
Quiraの既存セキュリティ層は個別コンポーネントを保護する — 暗号化、サンドボックス、IFCラベル、ケイパビリティベースのアクセス制御。しかし、ある種の脅威はユーザーの認知パターン、AI推論パイプライン、Knowledge Graphの構造進化という3つのシステムの相互作用からのみ出現する。
本ページではナレッジライフサイクルを対象とした8つの新規構造を文書化する — ナレッジがグラフにどう入り、AIが推論を行うと何が起き、意味的漏洩をどう測定・封じ込め、すでに処理済みのデータに対してポリシー変更をどう遡及的に適用するか。
リサーチステータス
これらの構造は先進アーキテクチャの基盤(KPC、CSEB、SKVなど)の上に構築され、形式的脅威モデルの敵対者クラスを7つの新しい攻撃ベクトルで拡張する。
1. Knowledge Supply Chain Integrity (KSCI)
ソフトウェアサプライチェーン攻撃(SolarWinds、Log4Shell)は正規の配布チャネルを通じて悪意のあるコードを注入する。KSCIはこの概念をナレッジ領域に適用する:攻撃者は正規のウェブサイトに事実として正確だが方向性にバイアスのかかったコンテンツを戦略的に配置し、ユーザーのKnowledge Graphを汚染する。
これはフィッシング(偽サイト)やプロンプトインジェクション(隠された指示)とは根本的に異なる。KSCIが対象とするのは目に見える、もっともらしいコンテンツであり、その目的はグラフ構造の操作である。
既存防御との違い
Context GatekeeperとXProtectは悪意のあるコードや既知の悪性シグネチャを検出する。KSCIは戦略的に配置されたナレッジ — 技術的に正しいがユーザーのナレッジ構造をシフトさせるよう設計されたコンテンツ — を検出する。
形式モデル
ナレッジサプライチェーンは KSC = (S, T, π, ι) としてモデル化される。Sは情報源の集合、Tは信頼スコア関数、πは来歴追跡、ιは完全性検証である。
各ナレッジノードは複合信頼スコアを受け取る:
| コンポーネント | 測定対象 | 例 |
|---|---|---|
| ソース信頼 | ドメインの評判、HTTPS、コンテンツの安定性 | mayoclinic.org = 0.95、random-blog.xyz = 0.2 |
| 裏付け | 同じ主張を確認する独立情報源 | 3つの独立情報源 = 0.85 |
| 時間的安定性 | 時間経過に伴うコンテンツの一貫性 | 2年間変更なし = 0.9、昨日編集 = 0.3 |
汚染検出:3つの条件が同時に満たされた場合にアラートが発生する:(1) 最近のコンテンツ変更(低い時間的安定性)、(2) 以前のバージョンからの大きな意味的シフト、(3) ユーザーの既存グラフ構造との不自然に高い親和性。
攻撃シナリオ
| シナリオ | 手法 | KSCI防御 |
|---|---|---|
| 漸進的グラフ汚染 | 攻撃者がStack Overflowで評判を構築し、ユーザーの研究テーマに関する回答を編集してバイアスを導入 | 時間的安定性がコンテンツ変更を検出。裏付けエンジンが主張を独立情報源と照合 |
| ナレッジクラスター標的化 | 攻撃者が複数サイトに微妙にバイアスのかかったコンテンツを配置。ユーザーの自然な検索が結論への誘導を蓄積 | ソース独立性検証が協調配置を検出。グラフ親和性異常が不自然にフィットするコンテンツをフラグ |
| 引用チェーン操作 | 互いに循環参照するページチェーンを作成し、偽の裏付けを製造 | 来歴トラッカーが循環引用グラフを検出。独立性スコアリングが共同所有ソースにペナルティ |
防御アーキテクチャ
2つのコアコンポーネント:
- 来歴トラッカー (Provenance Tracker) — ソースメタデータを記録:ドメインのWhois履歴、コンテンツスナップショット(Wayback Machine比較)、TLS証明書の経過年数、編集タイムスタンプ。Webコンテンツをサプライチェーンアーティファクトとして扱う。
- 裏付けエンジン (Corroboration Engine) — 同じ主張(エンティティ+関係)が独立した情報源で確認されていることを検証。単一ソースのノードは低い信頼スコアを受け、UIで視覚的に区別される。
脅威モデルマッピング:敵対者A2(悪意のあるWebコンテンツ)— 既存のA2.1–A2.5ベクトルを超えて拡張。新ベクトルA2.8 Knowledge Supply Chain Poisoningは隠された指示ではなく、目に見えるコンテンツを標的とする。
2. Inference Residue Defense (IRD)
ユーザーがKnowledge Graphからノードを削除すると、データはディスクから消去される。しかし、そのノードに基づいたAI生成の推論は他のノードの属性、エンティティ関係、埋め込みインデックス、クラスター統計に生き残る可能性がある。これが推論残留物である。
ゴースト問題
ユーザーがすべてのHIV治療ページを削除する。しかしAIは以前「免疫学に関心あり」と推論し、関連ノードにそのタグを追加していた。元のデータは消えたが、そのゴースト — 推論 — が残存し、悪用される可能性がある。
残留物の分類
| タイプ | 定義 | 例 | 検出難易度 |
|---|---|---|---|
| 直接残留物 | 削除されたノードを参照する明示的なエッジ/属性 | 「[削除済みノード]に関連」タグ | 低 |
| 伝播残留物 | 削除されたノードに間接的に影響された推論 | 削除データによるクラスター重心のシフト | 中 |
| 埋め込み残留物 | 削除されたノードの埋め込みが類似度計算に影響 | 変化した類似度ランキング | 高 |
| 統計的残留物 | 削除されたノードのトピック分布やクラスター統計への影響 | 歪んだトピック分布 | 非常に高い |
パージ・アーキテクチャ
IRDは推論依存グラフ(Inference Dependency Graph: IDG)を導入する — どの入力ノードがどのAI生成出力に寄与したかを記録する有向非巡回グラフ。
ノードが削除された時:
- 直接残留物:即座に削除(明示的参照)
- 伝播残留物:削除されたノードを入力から除外して再推論をキューイング
- 埋め込み残留物:影響を受けた類似度インデックスを再構築
- 統計的残留物:削除されたノードを除外してトピック統計を再計算
IDGは推論時に約2%のオーバーヘッドで依存関係を記録する。各エントリはコンパクト(ノードID + オペレーションID)。
脅威モデルマッピング:敵対者A3(拡張機能)およびA4(OSレベル)。新ベクトルA3.6 推論残留物エクスプロイト。
3. Semantic Blast Radius Containment (SBRC)
従来の侵害指標は漏洩レコード数、影響ユーザー数、露出バイト数を数える。しかしKnowledge Graphでは、料理ノード100件の漏洩 ≠ 精神科治療ノード100件の漏洩である。意味的ダメージは桁違いに異なる。
SBRCは侵害の影響を意味単位で測定し、意味空間に封じ込め境界を定義する。
封じ込めゾーン
グラフは意味的封じ込めゾーンに分割され、各ゾーンにダメージバジェットが設定される:
| ゾーン | 基本感度 | ダメージバジェット | カテゴリ例 |
|---|---|---|---|
| ゾーン1(医療) | 1.0 | 50 | 診断、治療、処方箋 |
| ゾーン2(金融) | 0.9 | 40 | 銀行、投資、与信 |
| ゾーン3(個人) | 0.8 | 35 | 人間関係、プライベートメッセージ |
| ゾーン4(仕事) | 0.3 | 20 | コード、プロジェクト、会議 |
| ゾーン5(一般) | 0.1 | 5 | ニュース、レシピ、チュートリアル |
ゾーン間エッジの抽象化:ゾーン間のエッジは抽象化されたラベルを持つ。「医学論文のために糖尿病を研究中」(ゾーン1→ゾーン4)はゾーン境界で「健康関連の仕事」となる。これにより仕事ゾーンの侵害から医療ゾーンの具体的な内容が明らかになることを防ぐ。
Semantic Damage Index
侵害が検出されると、SBRCは生のノード数ではなくSemantic Damage Index (SDI)を算出する:
SDI(breach) = Σ sensitivity(node) × linkability(node) × uniqueness(node)
- 感度 (Sensitivity):カテゴリベース(医療 = 1.0、一般 = 0.1)に特異性(ノードの詳細度)を乗算
- 連結性 (Linkability):機密カテゴリを接続する高次数ノードはダメージを増幅
- 一意性 (Uniqueness):「Pythonの構文」(一般知識)と「患者Xの処方箋」(個人特定)の差異
侵害レポートは「高感度の医療ノード3件と一般ノード12件が漏洩。推定プライバシー影響度:高」と表示される — 単純な「15ノードが漏洩」ではない。
関係: SBRCとSpace-Scopedセキュリティ
SBRC封じ込めゾーンはSpace-Scopedセキュリティの意味的上位集合である。Spacesは管理境界(ユーザーが作成した組織単位)であり、SBRCはセキュリティ境界(意味的感度に基づく自動分類)として機能する。1つのSpaceが複数のSBRCゾーンにまたがり得る(例:仕事Spaceに金融ノードと一般ノードの両方が含まれる場合)。SBRCはIFCラベルを使用してゾーン間データフローを制御し、SpaceとSBRCが直交する保護レイヤーを形成する。
4. Adversarial Graph Topology Resistance (AGTR)
既存の攻撃は個別のノードを標的とする(プロンプトインジェクション、エンティティ汚染、埋め込み操作)。AGTRは新しい脅威クラスに対処する:グラフのトポロジー(構造)自体への攻撃。
攻撃者はノードの内容ではなく接続パターンを操作する — グラフ構造を通じてユーザーを識別、追跡、または操作するために。
トポロジー攻撃
| 攻撃 | メカニズム | 目標 |
|---|---|---|
| 構造的透かし | 特定のリンク構造を持つk個のページを配置。ユーザーが訪問すると、Knowledge Graphに識別可能なサブグラフ(透かし)が形成される。 | ユーザー識別。後でグラフへの部分的アクセスにより透かしが明らかになる。 |
| ブリッジノード注入 | 分離されたクラスター間にブリッジノードを作成するコンテンツを注入。 | AI推論を感度境界を越えて伝播させる。 |
| モチーフフィンガープリンティング | メタデータからグラフ構造(次数分布、クラスタリング係数、スペクトル特性)を観測。 | 固有の構造パターンにより集団中のユーザーを識別。 |
Topological Invariant Monitor
AGTRは構造的特性を継続的に追跡するTopological Invariant Monitor (TIM)を配備する:
- 構造ドリフト検出:グラフのトポロジー特徴ベクトル(次数列、クラスタリング、モチーフ頻度、スペクトル特性)がタイムステップ間で閾値を超えて変化した場合にアラート。
- 透かしパターンマッチング:最近追加されたノードが識別可能なサブグラフパターンを形成していないかチェック。
- エクスポート時の構造ノイズ:グラフデータのエクスポート前にダミーエッジ追加、ランダムエッジ削除、囮サブ構造注入を行い、エクスポートされたトポロジー ≠ 実際のトポロジーとする。
脅威モデルマッピング:敵対者A2。新ベクトルA2.6 構造的透かしとA2.7 ブリッジノード注入。
5. Temporal Causality Verification (TCV)
Knowledge Graph内のナレッジには因果的取得順序がある:ユーザーはAを学び、次にBを学び、A+BからCを推論した。この因果連鎖は信頼評価と不正検出に不可欠だが、既存のTemporal Securityパラダイムはタイムスタンプと時間ベースのアクセスのみを保護し、因果順序そのものは保護しない。
ハッシュチェーン構築
各ノード追加はハッシュチェーンエントリを生成する:
hi = SHA-256(hi-1 || content(vi) || timestamp(vi) || causal_refs(vi))
保証:
- 順序不変性:チェーンの途中にノードを挿入すると、後続のすべてのハッシュが無効になる。
- 因果参照検証:別のノードへの依存を主張するノードは検証可能 — 参照されるノードはチェーン内でより早く出現する必要がある。
- 削除検出:ノードの削除はチェーンを破壊する。
| シナリオ | TCV無し | TCV有り |
|---|---|---|
| 因果偽造 | バイアスのかかったコンテンツv1がリンク経由で「客観的」コンテンツv2にユーザーを誘導 — v2は独立に見える | 因果チェーンがv1→v2のナビゲーションを記録し、非独立性をフラグ |
| ナレッジバックデート | 悪意のある拡張機能がノードのタイムスタンプを改ざんし「事前の知識」を捏造 | ハッシュチェーンがタイムスタンプの不整合を検出 |
| リサーチの先行性 | ナレッジ取得時期の暗号学的証拠がない | Merkleルート + RFC 3161タイムスタンプ局により証明可能な先行性を実現 |
6. Cross-Session Entropy Leakage Prevention (CSELP)
セッション内の分離が完璧であっても、Knowledge Graphはセッションをまたぐ永続的構造である。各セッションのアクティビティはグラフの成長パターンとして蓄積され、その成長パターンの系列は強力なフィンガープリントとなる。
グラフ成長フィンガープリンティング
セッション1:+50ノード(ML、Python)。セッション2:+3ノード(料理)。セッション3:+80ノード(ML、PyTorch)。このパターンは「料理をするMLエンジニア」を識別する — 各セッションは単体では無害だが、系列として見ると一意に識別可能。
脱相関技術
| 技術 | 破壊する相関 | 方法 |
|---|---|---|
| グラフ成長バッチ処理 | セッション固有の成長パターン | ノード追加をバッファリングし、セッションごとではなく固定間隔(1時間ごと)でコミット |
| トピック分布平滑化 | セッションのトピックシグネチャ | セッションごとのトピック分布にラプラスノイズを追加 |
| クエリタイミングジッター | 認知リズムのフィンガープリント | NLクエリの発行タイムスタンプにランダム遅延を追加 |
| ファントムセッション注入 | セッション系列の相関 | 実セッション間にダミーセッション(バックグラウンドグラフ操作)を挿入 |
防御目標:任意の2つのセッションのメタデータベクトル間の相互情報量は閾値 εsession 以下に保つ。セッションNのメタデータを観測する者は、セッションN-1またはN+1について最大 εsession ビットの情報しか得られない。
脅威モデルマッピング:敵対者A1(ネットワーク監視者)およびA3(拡張機能 — A3.5メタデータ収集)。新ベクトルA3.7 クロスセッション・メタデータ相関。
7. Retroactive Sanitization with Inference Purging (RSIP)
ユーザーがセキュリティポリシーを変更した場合(例:医療データの感度を最大に引き上げ)、新しいポリシーは将来のデータだけでなく、すでに収集・処理されたすべてのデータにも適用されなければならない。これは見た目以上に困難である:
- データはすでにAIパイプラインで処理済み
- 推論は他のノードに伝播済み(IRDの問題)
- 埋め込みが情報をエンコード済み
- クラスター統計とトピックモデルに影響済み
法的な整合性
RSIPはGDPRの「忘れられる権利」およびCCPAの消費者データ削除権に対する技術的メカニズムを提供する — 削除を超えて遡及的な再分類と再制限に拡張。
遡及パイプライン
ポリシー Πold が Πnew に変更された時:
- 影響ノードの特定:R = {Πnew が Πold より制限的なノード}
- 新ポリシーの直接適用:Rのラベル、アクセス制限、暗号化レベルを更新
- 推論依存関係の走査:IRDの推論依存グラフを使用してRから派生したすべての推論を発見
- R除外での再推論:影響を受けた属性とエッジをRのデータ無しで再計算
- 埋め込みの再構築:Rの埋め込みを更新または削除し、類似度インデックスを再構築
- 統計の再計算:Rを除外してトピック分布とクラスター集約を再計算
- 完全性の検証:非Rノードがいかなるノードに対しても依存度 > 0を持たないことを確認
| 最適化 | アプローチ | トレードオフ |
|---|---|---|
| 段階的パージ(デフォルト) | 最高依存度の項目から処理し、閾値以下で停止 | 制御可能な計算量。わずかな残留物が残る可能性 |
| 遅延再推論 | 影響を受けた属性にフラグを立て、次回アクセス時に再計算 | アクセスされるまで旧値が残存 |
| バッチ処理 | 夜間に完全な再計算を実行 | ポリシーが完全に適用されるまで遅延 |
| 完全パージ(ユーザー選択) | 依存グラフ全体を即座に走査 | CPU集約的だが完全性を保証 |
脅威モデルマッピング:すべての敵対者クラス。新ベクトルA-cross 遡及的ポリシー回避。
8. Contextual Amnesia Verification (CAV)
ユーザーが「このデータを忘れて」と言った時、従来のシステムは削除が実行されたことを確認する。CAVはさらに進んで、すべてのサブシステムにわたって復元が不可能であることの暗号学的証明を提供する。
Proof of Forgetting
Proof of Forgetting (PoF) はトリプルである:(commitment, deletion_proof, absence_proof)。
- Commitment:データが存在する間、データがグラフ内にあることを示すMerkleコミットメントを記録。
- Deletion proof:削除後、新しいMerkleルートにより削除データへの有効なMerkleパスが存在しないことを証明。
- Absence proof:更新されたグラフ内のいかなるノードも削除データとの埋め込み類似度が閾値を超えないことを検証 — すなわち情報がエンコードされた形で生存していないことを確認。
サブシステム別忘却
同じデータが複数のサブシステムに存在する。PoFはすべてをカバーしなければならない:
| サブシステム | データ形式 | 忘却方法 | 検証 |
|---|---|---|---|
| Graph DB (SQLite) | ノード + エッジ | DELETE + VACUUM | 不在のMerkle証明 |
| 埋め込みインデックス | ベクトル | インデックス再構築 | maxv sim(Φ(v), Φ(d)) < τ |
| 推論キャッシュ | AI出力 | IDGベースのパージ(IRD) | IDG依存エッジの不在 |
| 監査ログ | テキストレコード | エントリを暗号化し、鍵を破棄 | 構造的完全性を維持、内容は復元不可 |
| エクスポート履歴 | エクスポートレコード | レコード削除 | —(外部に送信済みのデータは復元不可) |
Composite PoFはすべてのサブシステム別証明の論理積である。いずれかのサブシステムが検証に失敗した場合、ユーザーに通知される:「忘却未完了 — [サブシステム]でデータ残留物が検出されました。」
ログのジレンマ
監査ログはデータがアクセスされたことを証明する — しかしログ自体がデータの存在を明らかにする。解決策:ログエントリは書き込み時に暗号化される。忘却時にはログの暗号化鍵が破棄される。ログエントリは残る(完全性を維持)がその内容は復元不可となる。
脅威モデルマッピング:敵対者A4(OSレベル — 削除後データ復元)およびA5(ベンダー — ログベースの再構築)。新ベクトルA4.3 削除後データ復元。
実装優先度
| フェーズ | 構造 | 根拠 |
|---|---|---|
| フェーズ2(即時) | IRD、TCV | IRDの推論依存グラフはRSIPとCAVの前提条件。TCVのハッシュチェーンは早期開始が望ましい — チェーンが長いほど検証が強力。 |
| フェーズ2 | KSCI、SBRC | 来歴トラッカー(KSCI基本)とSemantic Zone Analyzer(SBRC)はIFCラベル拡張として構築可能。 |
| フェーズ3(成熟期) | RSIP、CAV | IRDのIDGが十分なデータを蓄積する必要がある。CAVはすべてのサブシステムが忘却インターフェースを公開する必要がある。 |
| フェーズ3 | AGTR、CSELP | Topological Invariant Monitor(AGTR)の検証にはユーザーベースが必要。Session Metadata Decorrelator(CSELP)は計算コストが高い。 |
依存関係グラフ
| 構造 | 依存先 | 有効化対象 |
|---|---|---|
| IRD | — | RSIP、CAV |
| TCV | — | KSCI(強化) |
| KSCI | — | AGTR(サプライチェーンにトポロジーを含む) |
| SBRC | IFCラベル | — |
| RSIP | IRD | CAV |
| CAV | IRD、RSIP | — |
| AGTR | — | — |
| CSELP | — | — |
新規脅威モデル攻撃ベクトル
| ベクトル | 敵対者 | 防御構造 |
|---|---|---|
| A2.6 構造的透かし | A2(Webコンテンツ) | AGTR |
| A2.7 ブリッジノード注入 | A2(Webコンテンツ) | AGTR |
| A2.8 Knowledge Supply Chain Poisoning | A2(Webコンテンツ) | KSCI |
| A3.6 推論残留物エクスプロイト | A3(拡張機能) | IRD |
| A3.7 クロスセッション・メタデータ相関 | A3(拡張機能) | CSELP |
| A4.3 削除後データ復元 | A4(OSレベル) | CAV |
| A-cross 遡及的ポリシー回避 | 全クラス | RSIP |