セキュリティ強化策
既存26セキュリティ概念の全監査を行った結果、特定の敵対者クラスに対してカバレッジが不十分な6つの構造的弱点を特定した。これらは新規概念ではなく既存概念の拡張であり、それぞれ定義済みの構造を強化する。
なぜ重要か
現在の敵対者カバレッジ: A1(ネットワーク)40%、A5(ベンダー)30%。セキュリティ属性 S3(削除完全性)60%、S4(フロー分離)50%、S5(時間的整合性)40%。これらのギャップには的を絞った強化が必要。
カバレッジギャップ
| 敵対者 | Phase 1 | 評価 |
|---|---|---|
| A1 — ネットワーク観測者 | 40% | 危険 |
| A2 — 悪意のあるWebコンテンツ | 80% | 良好 |
| A3 — 悪意のある拡張機能 | 75% | 良好 |
| A4 — OS レベル攻撃者 | 60% | 要注意 |
| A5 — ブラウザベンダー | 30% | 最重要 |
E1. Embedding残留物追跡
IRD + RSIPを拡張。Φ: V → R384 で生成されるEmbeddingベクトルは最もリカバリ耐性が高い推論残留物である。現在のIRDは直接的、伝播的、統計的残留物を追跡するが、Embedding逆変換攻撃を明示的にモデル化していない。
逆変換攻撃モデル
Embeddingベクトル φi が与えられると、攻撃者は逆変換モデルにより元のテキストを復元する。2024年以降、Sentence-BERT/E5モデルへの逆変換攻撃はBLEU 0.5+を達成している(Morris et al., 2023; Li et al., 2024)。
E1はIRDに新しいR5: EmbeddingVector残留物カテゴリを追加する:
| フィールド | 目的 |
|---|---|
inversion_hazard_score | 0.0–1.0 ベクトルからテキスト復元のリスク |
dependent_indices | このベクトルを含むFTS5/ANNインデックス |
key_derivation_path | CGS(N1)暗号鍵パスとの統合 |
R5残留物カテゴリ
RSIP実行時: (1) R5残留物を持つノードの φi を特定、(2) ANNインデックスからベクトルを除去、(3) ベクトルなしでFTS5インデックスを再構築、(4) 逆変換BLEUスコアが閾値以下まで低下したことを検証。
敵対者: A3(拡張機能APIからのEmbeddingアクセス)、A4(インデックスファイルのディスク窃取)。Phase: 1–2。
E2. 推論来歴チェーン
TCVを拡張。時間的因果関係検証システムはナビゲーションエッジのハッシュチェーンを記録するが、AI推論エッジの因果入力を追跡しない。AIが「AはBに関連する」というエッジを作成した時、どのノードを分析してその結論に至ったか特定できない。
因果入力の欠落
来歴追跡がないと: (1) ソースノードを削除してもAI推論エッジは残り、ソースの存在が漏洩する; (2) 推論結果の根拠を監査で検証できない; (3) RSIPが因果入力不明のエッジを見逃す。
TCV拡張
TCVハッシュチェーンエントリに causal_inputs フィールドを追加。各因果入力はソースノードID、寄与重み(アテンションスコアまたは特徴重要度)、入力スナップショットハッシュ(クエリ時のコンテンツハッシュ)を記録する。
統合: IRDは causal_inputs を使って完全な推論残留物グラフを構築。RSIPは削除ノードを因果入力に含むすべてのAI推論エッジを自動エンキューする。
敵対者: 全クラス(来歴は基盤的)。Phase: 2。
E3. 不変監査コミットメント
CSEBを拡張。Context Security Event Busはイベントをリアルタイムで監視するが、不変記録を保証しない。攻撃者がCSEBのイベントバッファを破壊すると、侵害の証拠を消去できる。
追記専用監査バッファ
プライバシー保護型の監査イベントは、アクション種別、影響ノード数、セキュリティ判定、ASP姿勢レベルを記録する — ただしノードID、コンテンツ、ユーザークエリ、URLは一切記録しない。
Merkleルートコミットメント
1時間ごとに蓄積された監査イベントのMerkleルートを計算し、SKV(Sealed Knowledge Volume)にコミットする。監査ログの遡及的改竄はMerkleルートの比較により検出可能。
E3はN2(Forensic Integrity Layer)の前提条件であり、N2はE3の上に完全なフォレンジック分析システムを構築する。
敵対者: A2, A3, A4, A5。Phase: 1–2。
E4. ソーシャルリカバリ層
KPCを拡張。KPC暗号化はマスターパスフレーズに完全に依存している。パスフレーズの喪失 = 永久的なデータ喪失。災害復旧メカニズムが存在しない。
Shamir秘密分散
(3, 5)閾値で5つのシェアを生成 — 任意の3シェアでマスター鍵を再構成可能。シェアはモバイルデバイス、BIP39シードフレーズ(紙のバックアップ)、2名の信頼済み連絡先のデバイス、オプションの暗号化クラウドバックアップに分散される。
ソーシャルリカバリはオプトインのみ。シェアの生成と再構成はすべてローカルデバイス上で行われる。シェアは組み立て済みの形で送信されることはない。
敵対者: 災害復旧(可用性リスク)、間接的A5防御。Phase: 2–3。
E5. クエリ正規化シールド
KQRを拡張。自然言語クエリは言語的指紋 — 語彙選択、構文パターン、略語の頻度 — を含み、ユーザーの認知スタイルを特定できる。KQRはリレー経路を保護するがクエリ内容は保護しない。
正規化パイプライン
KQRがクラウドAIに送信する前に、クエリはローカル正規化パイプラインを通過する: (1) 同義語統一、(2) 語順正規化、(3) フィラー除去、(4) [トピック] [関係] [制約] 形式への構造正規化、(5) 確率的ダミー修飾子挿入。
オリジナルクエリはContext Graphに保存される。正規化されたバージョンのみがデバイスを離れる。
E5はN7(Cognitive Query Normalization)の足がかりであり、N7はML ベースのスタイル中立化を追加する。
敵対者: A1, A5。Phase: 2。
E6. カスケード障害フォールバック
ASPを拡張。CSEBとCTAが同時に侵害された場合、ASPはトリガーソースを失い、アクセス制御が事実上停止する。独立したフォールバックが存在しない。
独立ウォッチドッグ
ハードウェア独立のウォッチドッグがCSEB/CTAとは別のメモリ空間で動作する。両方が5秒ごとにハートビートを送信。いずれかのハートビートが欠落した場合: 警告 + 強制的な姿勢エスカレーション。両方が欠落した場合: コンパイル時埋め込みポリシーによる即時ロックダウン(読み取り不可、書き込み不可、ネットワーク不可、AI推論不可、UIアラートのみ)。
ロックダウンポリシーはコンパイル時に埋め込まれ — ランタイムで変更不可能であり、攻撃者がフォールバックを改竄するリスクを排除する。
敵対者: A3, A4。Phase: 2。
まとめ
| ID | 強化策 | 対象 | 深刻度 | Phase |
|---|---|---|---|---|
| E1 | Embedding残留物追跡 | IRD + RSIP | CRITICAL | 1–2 |
| E2 | 推論来歴チェーン | TCV | HIGH | 2 |
| E3 | 不変監査コミットメント | CSEB | CRITICAL | 1–2 |
| E4 | ソーシャルリカバリ層 | KPC | HIGH | 2–3 |
| E5 | クエリ正規化シールド | KQR | HIGH | 2 |
| E6 | カスケード障害フォールバック | ASP | HIGH | 2 |
フロンティアセキュリティとの関係
いくつかの強化策はフロンティアセキュリティ構造の前提条件となる: E1 → N1(CGS)、E3 → N2(FIL)、E5 → N7(CQN)。