脅威モデルと信頼モデル
誰から何を守り、誰を信頼する設計なのかを整理し、匿名運用の前提を作ります。
匿名性を考えるとき、最初に決めるべきことがあります。
それは、「誰から、何を守りたいのか」です。
すべての相手から、すべての情報を、完全に隠すことは現実的ではありません。 また、必要な対策は人によって変わります。
一般個人、ジャーナリスト、内部告発者、活動家、企業の担当者では、守るべきものも、想定する相手も違います。
この前提を整理する考え方が脅威モデルです。 そして、どのサービスや相手を信頼するのかを整理する考え方が信頼モデルです。
この記事では、匿名性を考える前提として、脅威モデルと信頼モデルを整理します。
脅威モデルとは何か
脅威モデルとは、誰が何を狙い、どのような手段でリスクが生まれるのかを整理する考え方です。
匿名性では、次のような問いから始めます。
- 誰から守りたいのか
- 何を知られたくないのか
- どの情報が結びつくと困るのか
- 相手はどの程度の能力を持っているのか
- どこまでのリスクを許容できるのか
たとえば、友人に別アカウントを知られたくない場合と、強い権限を持つ組織から取材源を守る場合では、必要な対策はまったく違います。
脅威モデルを作らないまま対策を選ぶと、必要以上に複雑なことをしたり、逆に重要なリスクを見落としたりします。
守りたいものを決める
最初に考えるのは、何を守りたいのかです。
匿名性で守る対象は、本名だけではありません。
| 守りたいもの | 例 |
|---|---|
| 実名 | 名前、顔、身分証、実名アカウント |
| 所属 | 職場、学校、団体、部署 |
| 生活圏 | 住所、通勤圏、よく行く場所 |
| 取材源や関係者 | 情報提供者、協力者、仲間 |
| 活動内容 | 投稿、調査、告発、閲覧履歴 |
| 通信経路 | 、DNS、接続先、通信時刻 |
「匿名でいたい」と言うだけでは不十分です。 何と何が結びつくと困るのかを具体的に考える必要があります。
誰から守りたいのかを決める
次に、相手を考えます。
匿名性では、相手によって見える情報や使える手段が違います。
| 相手 | 見える可能性がある情報 | 注意点 |
|---|---|---|
| 接続先Webサイト | IPアドレス、、ログイン状態、リクエスト内容 | サイト側のログやアカウント情報が関係する |
| ISP・通信事業者 | 接続時刻、接続先IP、通信量など | HTTPSの中身までは読みにくいがは残る場合がある |
| 事業者 | VPN利用者の接続に関する情報 | VPNを使うと信頼先がVPN事業者へ移る |
| 同じWi-Fiの利用者 | 暗号化されていない通信、接続状況 | 公共Wi-Fiでは特に注意が必要 |
| 職場・学校 | 端末、ネットワーク、ログ、管理システム | 管理権限が強い場合がある |
| 調査者・第三者 | 公開情報、投稿、画像、過去アカウント | OSINTで相関される可能性がある |
相手を決めることで、必要な対策が見えやすくなります。
相手の能力を見積もる
相手が誰かだけでなく、どの程度の能力を持っているかも重要です。
友人がSNS検索をするだけなのか。 サービス運営者がアクセスログを見られるのか。 職場や学校の管理者がネットワークログを見られるのか。 国家機関が通信事業者へ記録開示を求められるのか。
能力が違えば、必要な対策も変わります。
| 能力 | できる可能性があること |
|---|---|
| 公開情報の検索 | ユーザー名、画像、過去投稿を探す |
| サービス内ログの確認 | IPアドレス、ログイン履歴、操作履歴を見る |
| ネットワーク管理 | 接続先、通信量、DNS問い合わせを見る |
| 端末管理 | ブラウザ履歴、インストールアプリ、ファイルを見る |
| 法的権限 | 事業者に記録開示を求める |
すべての相手を最大能力で想定すると、現実的な行動が難しくなります。 一方で、相手の能力を低く見積もりすぎると危険です。
目的に合わせて、現実的な範囲で考える必要があります。
信頼モデルとは何か
信頼モデルとは、誰を信頼し、誰を信頼しない前提で仕組みを使うのかを整理する考え方です。
匿名性ツールを使うと、情報が見える相手が変わります。 見える情報が消えるのではなく、別の相手に移る場合があります。
たとえばVPNを使うと、接続先Webサイトからは自宅IPが見えにくくなる場合があります。 しかし、VPN事業者には利用者の通信に関する情報が見える可能性があります。
を使うと、接続先からはTor出口ノードに見える場合があります。 ただし、Torの使い方を誤ると、ログイン状態やブラウザ情報から結びつく可能性があります。
| 方法 | 信頼する相手・仕組み | 注意点 |
|---|---|---|
| 通常接続 | ISP、接続先サービス | 自宅や職場のIPが見える場合がある |
| VPN | VPN事業者 | VPN事業者のログ方針や運営を信頼する必要がある |
| Tor | Torネットワークの設計、Tor Browserの運用 | 使い方を誤ると別の手がかりが残る |
| 公共Wi-Fi | Wi-Fi運営者、施設環境 | 現地ログや監視カメラと結びつく可能性がある |
| クラウドサービス | サービス運営者 | アカウント、ログ、保存データが関係する |
匿名性を考えるときは、「このツールは安全か」だけでなく、「誰を信頼する設計なのか」を見る必要があります。
脅威モデルがないと対策がずれる
脅威モデルがないと、対策が目的からずれやすくなります。
たとえば、接続先Webサイトに自宅IPを見せたくないだけなら、VPNで足りる場合があります。 しかし、VPN事業者を信頼できない相手として考えるなら、VPNだけでは目的に合わないかもしれません。
実名アカウントと匿名アカウントを結びつけたくない場合、通信経路よりもCookie、ログイン状態、ブラウザ分離、、のほうが重要になることもあります。
内部告発者が組織内資料を扱う場合、ネットワーク経路だけでなく、文書メタデータ、アクセス権、配布履歴、相談先の信頼性が重要になります。
対策は、守りたいものと相手によって変わります。
リスクの段階で考える
脅威モデルは、毎回最大級の危険を想定するためのものではありません。
リスクには段階があります。別名で趣味の投稿をしたい人と、職場に不正を告発する人では、同じ匿名性という言葉を使っていても必要な準備が違います。
| 状況 | 主な相手 | 重視する対策 |
|---|---|---|
| 低リスクの別名投稿 | 知人、検索する第三者 | ユーザー名、文体、画像の使い回しを避ける |
| 職場に知られたくない相談 | 職場関係者、サービス運営者 | 職場端末を避け、内容と時間をぼかす |
| 取材源保護 | 関係組織、調査者 | 連絡経路、資料、公開記事からの逆算を見る |
| 内部告発 | 組織、法的権限を持つ相手 | 文書メタデータ、アクセス履歴、提出先を慎重に扱う |
| 検閲下の情報アクセス | ISP、国家機関、サービス運営者 | 通信経路、端末、現実の安全を分けて考える |
リスクが高いほど、記事だけで判断しないことが重要になります。
弁護士、支援団体、報道機関の安全担当など、信頼できる相談先を使う判断も脅威モデルの一部です。
まず作るべき簡単な脅威モデル
最初から複雑な脅威モデルを作る必要はありません。
まずは、次の表を埋める程度で十分です。
| 問い | 例 |
|---|---|
| 何を守りたいか | 実名、職場、取材源、生活圏、匿名アカウント |
| 誰から守りたいか | 接続先サイト、職場、学校、第三者、国家機関 |
| 何が結びつくと困るか | 実名アカウントと匿名投稿、IPと投稿時刻、文書と作成者 |
| 相手は何を見られるか | 公開情報、サーバーログ、通信ログ、端末情報 |
| 誰を信頼するか | VPN事業者、投稿先サービス、相談先、端末環境 |
| どこまで許容できるか | 低リスクの匿名投稿か、高リスクの告発か |
これを考えるだけでも、必要な対策がかなり整理されます。
まとめ
脅威モデルとは、誰から何を守りたいのかを整理する考え方です。 信頼モデルとは、どの相手やサービスを信頼する前提で行動するのかを整理する考え方です。
匿名性では、すべての相手からすべてを隠すことは現実的ではありません。 守りたいもの、想定する相手、相手の能力、残る手がかり、信頼する相手を分けて考える必要があります。
VPN、Tor、公共Wi-Fi、暗号化、などの対策は、目的によって意味が変わります。
まずは「誰から、何を、どの程度守りたいのか」を決めることが、匿名性を考える出発点です。
関連ツール
WhatIsMyIP
WhatIsMyIPは、Webサイト側から見える現在のパブリックIPアドレスを確認できる検証サイトです。
紹介する理由: VPNやTorなどを使ったあと、接続先から見えるIPアドレスが意図した経路のものに変わっているかを確認する入口になるためです。
Tor Project
Tor Projectは、Tor BrowserとTorネットワークを開発・公開している公式プロジェクトです。
紹介する理由: Torは通信経路を隠す仕組みを学ぶ中心的な実例です。公式サイトでは、Tor Browserの入手、仕組み、利用上の注意を確認できます。
Proton VPN
Proton VPNは、Proton Mailなどプライバシー系サービスを長く運営しているProtonのVPNサービスです。
紹介する理由: VPNの信頼性を見るときに、対応端末、サーバー、透明性レポート、監査、オープンソースアプリなどを公式情報で確認しやすい実用候補として紹介します。
URL : https://protonvpn.com/
Mullvad VPN
Mullvad VPNは、メールアドレスやパスワードを要求しない番号アカウント方式を採るVPNサービスです。
紹介する理由: VPNを選ぶときに、登録情報を減らす設計、ログ方針、支払い方法、アプリ情報を公式サイトで確認できる候補として紹介します。
URL : https://mullvad.net/