カナダ 英国 NCSC 組織のための公開コンテンツの来歴証明（provenance）(2025.12.04)

こんにちは、丸山満彦です。

生成AIの登場により、だれでも希望に近いコンテンツが簡単につくれるようになり、本物にそっくりに似せてものもつくれるようになりましたよね...

そうなると情報の受け手が本物と似せて作られたものとの区別をつけられなくなり、本物ではない情報に基づいた意思決定をする可能性がたかくなりますよね...

本質的には本物か似せて作られものの区別が重要というより、だれが作ったコンテンツであるかを情報の受け手が確実に知ることができるということが重要なのだろうと思います。

ということで、公開コンテンツの来歴証明（provenance）が重要となるということで、英国のNCSCとカナダのCCCSが組織のための公開コンテンツの来歴証明の報告書を公表していますので、参考に...

● NCSC

・2025.12.04 Public content provenance for organisations

 

Public content provenance for organisations	組織のための公開コンテンツの来歴証明
Explaining why content provenance matters and how organisations can use it to verify and protect their online information.	コンテンツの来歴証明がなぜ重要なのか、そして組織がオンライン情報を検証し保護するためにそれをどう活用できるかを説明する。
Context	背景
This publication is intended for security and public communications practitioners. It lays the foundation in explaining what public content provenance is and why it's an important tool for organisations to establish a verifiable historical record of the content they make available online. It provides information about the range of technologies which help to establish trust in digital records along with examples of how they might be used to meet different requirements.	本資料は、セキュリティおよび広報コミュニケーション担当者を対象としている。公開コンテンツの来歴証明とは何か、また組織がオンラインで提供するコンテンツの検証可能な履歴記録を確立する上で、なぜそれが重要なツールとなるのかを説明する基礎を築くものである。デジタル記録への信頼性を確立するのに役立つ様々な技術に関する情報を提供するとともに、異なる要件を満たすためにそれらをどのように活用できるかの例を示す。
This publication has been jointly researched and co-authored by the Canadian Centre for Cyber Security (Cyber Centre) and the NCSC. The Cyber Centre and the NCSC do not directly endorse the products, services or methodologies in this publication. The tools and standards described are a means to demonstrate how to improve cyber resilience in different contexts using combinations of technologies.	本出版物はカナダサイバーセキュリティセンター（Cyber Centre）とNCSCが共同で調査・執筆した。Cyber CentreとNCSCは本出版物に記載された製品・サービス・手法を直接推奨するものではない。記載されたツールや標準は、技術群を組み合わせることで異なる状況下でサイバーレジリエンスを向上させる方法を示す手段である。
Table of contents	目次
1. Securing trust in digital content: why public content provenance matters	1. デジタルコンテンツの信頼確保：公共コンテンツの来歴証明が重要な理由
2. The challenge of securing digital trust in today’s complex information environment	2. 今日の複雑な情報環境におけるデジタル信頼確保の課題
2.1 Digital content provenance explained	2.1 デジタルコンテンツの来歴証明の解説
2.2 Digital content provenance analogy	2.2 デジタルコンテンツの来歴証明の類推
2.3 How to earn trust in digital content	2.3 デジタルコンテンツへの信頼獲得方法
2.4 How digital content provenance helps enhance public trust in an organisation	2.4 デジタルコンテンツの来歴証明が組織への公的信頼向上に寄与する仕組み
3. Provenance: selecting suitable systems and technologies	3. 来歴証明：適切なシステムと技術の選択
3.1 What to consider when selecting provenance systems	3.1 来歴証明選定時の考慮事項
3.1.1 Source of trust	3.1.1 信頼の源泉
3.1.2 Extent of provenance record	3.1.2 来歴証明記録の範囲
3.1.3 Ease of verification	3.1.3 検証の容易さ
3.1.4 Cost of providing provenance	3.1.4 来歴証明プロバイダのコスト
3.1.5 Strength of provenance claim	3.1.5 来歴証明主張の強さ
3.1.6 Duration of the provenance claim	3.1.6 来歴証明主張の有効期間
3.1.7 Utility of the provenance	3.1.7 来歴証明の有用性
3.1.8 Redress requirements	3.1.8 救済要件
3.1.9 Privacy considerations	3.1.9 プライバシーに関する考慮事項
3.2 What to consider when selecting content provenance technologies	3.2 コンテンツ来歴証明技術選定時の考慮事項
3.2.1 Trusted timestamps	3.2.1 信頼できるタイムスタンプ
3.2.2 Cryptographic identity	3.2.2 暗号学的アイデンティティ
3.2.3 Digital ledgers (Blockchain)	3.2.3 デジタル台帳（ブロックチェーン）
3.2.4 Web archiving	3.2.4 ウェブアーカイブ
3.2.5 Digital watermarking	3.2.5 デジタル透かし
3.2.6 The Coalition for Content Provenance and Authenticity	3.2.6 コンテンツ来歴証明と真正性連合（Coalition for Content Provenance and Authenticity）
3.3 Why private provenance systems aren’t suitable for public content	3.3 公共コンテンツに私的来歴証明システムが適さない理由
4. Deploying public content provenance systems: considerations and example use cases	4. 公共コンテンツ来歴証明システムの展開：考慮事項とユースケース
4.1 Points for organisations to consider	4.1 組織が考慮すべき点
4.1.1 Strategy to establish public information trust	4.1.1 公共情報の信頼性を確立する戦略
4.1.2 Introduction of provenance in content lifecycle	4.1.2 コンテンツライフサイクルにおける来歴証明の導入
4.1.3 Timeframe for content verification	4.1.3 コンテンツ検証の時間枠
4.1.4 Cost	4.1.4 コスト
4.1.5 Audience and format	4.1.5 対象者と形式
4.1.6 Maturity of public provenance technologies	4.1.6 公共来歴証明技術の成熟度
4.2 Example use cases	4.2 ユースケース
4.2.1 Use case 1: Organisation wants provenance of all its public content	4.2.1 ユースケース1：組織が全ての公開コンテンツの来歴証明を求める場合
4.2.2 Use case 2: Organisation’s content provenance is only needed for a short time	4.2.2 ユースケース2：組織のコンテンツ来歴証明が短期間のみ必要な場合
4.2.3 Use case 3 : Organisation’s content provenance is needed for a long time	4.2.3 ユースケース3：組織のコンテンツ来歴証明が長期間必要な場合
4.2.4 Use case 4: Organisation needs content to retain its anonymity and privacy	4.2.4 ユースケース4：組織がコンテンツの匿名性とプライバシー保持を必要とする場合
4.2.5 Use case 5: Copyright and other legal redress	4.2.5 ユースケース5：著作権及びその他の法的救済
5. Next Steps	5. 今後の対応

 

 

1. Securing trust in digital content – why public content provenance matters	1. デジタルコンテンツの信頼確保：公共コンテンツの来歴証明が重要な理由
In today's digital age, information on the internet cannot be relied on consistently as a source of truth. The rapid rise in the volume of available information and the accelerated pace of content generation, particularly through Artificial Intelligence (AI), mean the internet has become a battleground for interference and malicious cyber activities.	現代のデジタル時代において、インターネット上の情報は真実の源として一貫して信頼できるものではない。利用可能な情報量の急増と、特に生成的人工知能（AI）を通じたコンテンツ生成の加速化により、インターネットは干渉や悪意あるサイバー活動の戦場と化している。
In this environment, organisations are finding it increasingly challenging to ensure the authenticity and integrity of their information and so they must rethink how they establish and maintain trust with their audiences. Additionally, as highlighted in the recent NCSC Assessment and CSE report, AI-enabled capabilities continue to proliferate to cyber criminals, and states are beginning to integrate these technologies into their cyber capabilities. Organisations will therefore need tools to improve their resilience and security to protect the integrity of their data and information. A cornerstone of these efforts is the establishment of provenance for digital content.	この環境下で、組織は情報の真正性と完全性を確保することがますます困難になっており、対象者との信頼関係を確立・維持する方法を再考せざるを得ない。さらに、最近のNCSCアセスメントおよびCSE報告書が指摘するように、AIを活用した能力はサイバー犯罪者に拡散し続けており、国家もこれらの技術をサイバー能力に統合し始めている。したがって組織は、データと情報の完全性を保護するため、レジリエンスとセキュリティを向上させるツールを必要とする。こうした取り組みの基盤となるのが、デジタルコンテンツの来歴証明の確立である。
Provenance refers to the place of origin. It is used in the physical world to verify the authenticity of artefacts, but it is also relevant in the online world. Many organisations already employ versioning and logging systems to establish provenance for internal documents. However, these systems are often useful only within the organisation. To build stronger trust with external audiences, organisations need to improve how they address the public provenance of their information.	来歴証明とは起源の地を指す。実世界では遺物の真正性を検証するために用いられるが、オンライン世界でも同様に重要である。多くの組織は既に、内部文書の来歴証明を確立するためバージョン管理やログ記録システムを導入している。しかし、こうしたシステムは組織内でのみ有用な場合が多い。外部関係者との信頼強化には、情報の公的な来歴証明への対応を改善する必要がある。
2. The challenge of securing digital trust in today’s complex information environment	2. 今日の複雑な情報環境におけるデジタル信頼確保の課題
in this section	本節の内容
2.1 Digital content provenance explained	2.1 デジタルコンテンツの来歴証明の解説
2.2 Digital Content Provenance Analogy	2.2 デジタルコンテンツの来歴証明の類推
2.3 How to earn trust in digital content	2.3 デジタルコンテンツへの信頼獲得方法
2.4 How digital content provenance helps enhance public trust in an organisation	2.4 デジタルコンテンツの来歴証明が組織への公的信頼向上に寄与する仕組み
Today’s information environment¹ comprises a wide variety of forms of communication, ranging from traditional media and social media, to telephone conversations and even signs on lampposts. This makes it easy to access large amounts of information quickly. Different processes within this environment collect and reorganise data and metadata to meet the needs of various groups such as information seekers, publishers and advertisers. Additionally, social media platforms enable widespread republishing and the option to add commentary.	現代の情報環境¹は、伝統的なメディアやソーシャルメディアから電話会話、街灯の看板に至るまで、多様なコミュニケーション形態で構成されている。これにより大量の情報に迅速にアクセスできる。この環境内では、情報探索者、出版社、広告主など様々なグループのニーズに応えるため、データとメタデータが収集・再編成される。さらにソーシャルメディアプラットフォームは、広範な再公開とコメント追加を可能にしている。
Although the information environment benefits both content creators and consumers, it also presents challenges. An original piece of content may be collected, reorganised, summarised, aggregated, reformatted, republished and modified throughout its lifecycle. Modifications may be made deliberately or otherwise, and with or without intent to deceive. These modifications can be difficult to detect as the information rarely persists in its original form. This means we cannot be certain that the intended meaning of the content is retained, or worse, that it has not been distorted.	情報環境はコンテンツ制作者と消費者の双方に利益をもたらすが、課題も生じている。オリジナルコンテンツはライフサイクルを通じて収集、再編成、要約、集約、再フォーマット、再公開、改変される可能性がある。改変は意図的・非意図的、欺瞞目的の有無を問わず行われる。こうした改変は、情報が元の形で残存することは稀であるため、検知が困難である。これは、コンテンツの意図された意味が保持されているか、あるいはさらに悪いことに歪められていないか確信できないことを意味する。
For security practitioners, protecting information in this environment poses significant challenges. They have traditionally focused on protecting the confidentiality, integrity and availability of digital data directly controlled by the organisation, but now must also focus on protecting publicly available information about their content, which is outside of their control. To address this, organisations can use public trust mechanisms to verify the source and history of content.	セキュリティ実務者にとって、この環境下での情報防御は重大な課題である。従来は組織が直接管理するデジタルデータの機密性・完全性・可用性の防御に焦点を当ててきたが、現在では管理外のコンテンツに関する公開情報防御にも注力せねばならない。 この課題に対処するため、組織はコンテンツの出典と履歴を検証する公的信頼メカニズムを利用できる。
¹The aggregate of individuals, organisations, and systems that collect, process, disseminate, or act on information.	¹情報を収集、処理、拡散、またはそれに基づいて行動する個人、組織、システムの集合体。
Figure 1 - Communicating an organisation's information in the information environment	図1 - 情報環境における組織情報の伝達
To communicate with the public, organisations share their information in the information environment. This environment comprises all forms of communication between the organisation and the public audience and can include social media, content aggregation sites, web search services, traditional media such as radio and television, as well as others. Other parties can add to the communications with their own content in the form of comments, selective filtering and so on. The overall message that a member of the public audience receives or accesses may not be what is intended by the originating party. It may not even be accurate.	組織は公衆とコミュニケーションを取るため、情報環境で情報を共有する。この環境は組織と公衆の間のあらゆるコミュニケーション形態で構成され、ソーシャルメディア、コンテンツ集約サイト、ウェブ検索サービス、ラジオやテレビなどの伝統的メディアなどが含まれる。第三者はコメントや選択的フィルタリングなどの形で独自のコンテンツを追加できる。公衆が受け取る全体的なメッセージは、発信者が意図した内容とは異なる場合がある。正確でない可能性すらある。
3. Provenance: selecting suitable systems and technologies	3. 来歴証明：適切なシステムと技術の選択
3.1 What to consider when selecting provenance systems	3.1 来歴証明システム選定時の考慮事項
3.2 What to consider when selecting content provenance technologies	3.2 コンテンツ来歴証明技術選定時の考慮事項
3.3 Why private provenance systems aren’t suitable for public content	3.3 公共コンテンツに私的来歴証明システムが適さない理由
The subject of content provenance isn't entirely new but advances in technologies, such as Generative AI, are driving requirements for it to evolve even faster.	コンテンツ来歴証明の課題は全く新しいものではないが、生成的AIなどの技術進歩により、その進化がさらに加速している。
Frameworks which offer ways of structuring provenance systems are still being established.	来歴証明システムを構築する手法を提供する枠組みは、まだ確立されつつある段階だ。
There are multiple facets to the provenance challenge which will require different approaches. One approach may not necessarily solve all of an organisation’s content provenance requirements. Some examples of the current provenance challenge include synthetic media labelling, provenance of digital source media, deep fake detection and provenance of aggregated content.	来歴証明の課題には複数の側面があり、それぞれ異なるアプローチが必要となる。一つの手法が組織のコンテンツ来歴証明要件を全て解決するとは限らない。現在の来歴証明課題の例としては、合成メディアのラベリング、デジタルソースメディアの来歴証明、ディープフェイク検知、集約コンテンツの来歴証明などが挙げられる。
Organisations will have to identify a framework relevant to their needs. The key aspects to consider when selecting a framework include:	組織は自らのニーズに合った枠組みを識別しなければならない。枠組み選定時に考慮すべき主要な要素は以下の通りだ：
How trust in the provenance record is established – does it use cryptographic methods such as trusted timestamps (see 3.2.1) and cryptographic identities (see 3.2.2) to secure integrity?	来歴証明記録への信頼性をどう確立するか – 信頼できるタイムスタンプ（3.2.1参照）や暗号的アイデンティティ（3.2.2参照）といった暗号手法を用いて完全性を確保しているか？
The requirement to identify who will perform the third-party notary function – they have to be trusted by both the requester and the verifier.	サードパーティ公証機能を担う主体を識別する必要性 – 依頼者と検証者の双方から信頼される存在でなければならない。
How verifiers, for example the courts, journalists, or a member of the general public, can verify provenance. Are the mechanisms simple and understandable?	検証者（裁判所、ジャーナリスト、一般市民など）がどのように来歴証明を検証できるか。その仕組みは簡潔で理解しやすいか。
Organisations will have their own content provenance requirements but should be mindful of the rapidly evolving requirements and standards in public provenance infrastructure. They should consider standards used in their specific solution to ensure provenance functionality, such as verification work at scale.	組織は独自のコンテンツ来歴証明要件を持つが、公共の出所インフラにおける急速に進化する要件や標準に留意すべきである。大規模な検証作業など、来歴証明機能を確保するために、自組織の特定ソリューションで使用される標準を考慮する必要がある。
In addition to choosing a provenance solution which meets its specific objectives, an organisation will need to decide which technologies to use.	組織は、特定の目的を満たす来歴証明ソリューションを選択するだけでなく、使用する技術も決定する必要がある。
4. Deploying public content provenance systems: considerations and example use cases	4. 公共コンテンツ来歴証明システムの展開：考慮事項とユースケース
4.1 Points for organisations to consider	4.1 組織が考慮すべき点
4.2 Example use cases	4.2 ユースケース
5. Next steps	5. 今後の展開
The content provenance space is rapidly evolving to meet emerging challenges but is still mainly in the development stage. If you are considering content provenance as part of your organisation's trust strategy you should:	コンテンツ来歴証明分野は新たな課題に対応するため急速に進化しているが、依然として主に開発段階にある。 組織の信頼戦略の一環としてコンテンツ来歴証明を検討する場合、以下の点に留意すべきである：
・understand how your information and information about your organisation is received by your audience and other parties, and how this impacts your audience's trust in your organisation	・自組織の情報および自組織に関する情報が、対象者やその他の関係者にどのように受け取られ、それが対象者の組織への信頼にどう影響するかを理解すること
・consider how content provenance technologies might address your organisation's public trust challenges	・コンテンツ来歴証明技術が、組織の公共的信頼に関する課題にどう対処し得るかを検討すること
・stay abreast of changes in technology and emerging trust threats in the information environment	・技術の変化や情報環境における新たな信頼脅威について、常に最新情報を把握すること

 

一応PDFも...

・[PDF]