デジタル時代の信頼性を確保する新たなスタンダード:C2PAの取り組み
サイバートラスト株式会社
シニアR&Dエンジニア 三室 貴文
C2PAとは?
C2PA(Coalition for Content Provenance and Authenticity)は、デジタルコンテンツの出所や真正性を保証するための技術標準を策定するために、2021年にAdobe、 Arm、Intel、Microsoft、Truepicなど世界的なテクノロジー企業が協力して設立された団体である。この団体名を日本語に訳すのは少々難しいのだが、C2PA創設メンバーの1社であるMicrosoftは「コンテンツの出所と信ぴょう性に関する連合」、 Adobeは「コンテンツ来歴および信頼性のための標準化団体」 と表現している。
C2PAは画像ファイルや動画ファイルなどのデジタルコンテンツに対して、「メタデータ」と呼ばれる情報を埋め込む技術を規格(仕様)化している。このメタデータには、そのコンテンツがどこで、いつ、誰によって作成されたか、またどのように編集されたかといった情報や、改ざん防止・作成者認証のためのデジタル署名、タイムスタンプなどが含まれている。この情報によってユーザーはコンテンツの出所・来歴を確認し、その信頼性を判断することができるようになる。
なぜC2PAが必要なのか?
デジタル化が進む現代において、インターネット上では膨大な量の画像や動画などのデジタルコンテンツがやり取りされている。しかし、その全てが正しいものではなく、中には不正確な情報や捏造されたコンテンツも数多く含まれており、そのコンテンツが本当に正しいものなのか、信用して良いものなのかは個人の判断に委ねられているのが実情である。
デジタルコンテンツはその特性上、非常に容易にコピーや改変することが可能であり、例えば意図的に編集あるいは改ざんされたニュース画像や映像が、あたかも正しい情報かのように公開・拡散されると、世論をミスリードしたり、それを発端に国際問題に発展したりしてしまう可能性を生じるなど、社会的にも大きな影響を与えるリスクがある。
また、今年2024年は、既に行われた台湾、ロシアなどをはじめ、アメリカなど世界の多くの国で大統領選挙や議会選挙が行われる「選挙イヤー」とも言われている。選挙戦となると、昔から怪情報や偽情報が流布されることがあったが、現代においてはSNSなど情報拡散の手段が増えたことと、昨今の生成AIの急速な進歩・普及により、誰もがより簡単にフェイク画像や動画などを作成し、それを広く拡散できてしまうようになっている。
実際にアメリカ大統領選に向けては、「社会的に大きな影響力を持つ著名人が特定の候補者を支持している」、あるいは「その候補者への投票を呼び掛けている」とするフェイク画像や動画が作成・拡散され、選挙戦の行方をも左右しかねない状況となっており、その影響は大きく懸念されている。
さらに、デジタルコンテンツの権利管理も重要な課題であり、コンテンツの作成者あるいは編集者が誰か(自然人によるものなのか、生成AIによるものなのかを含め)を明確にし、創作者や表現者、メディアが安心してコンテンツを公開できる環境を確立することも必要である。
これらの課題や時代背景に対して、デジタルコンテンツの信頼性や信ぴょう性を確保し、誤情報や偽造コンテンツのリスクを軽減するために必要な技術として、C2PAの取り組みが注目されている。
C2PAの参加企業とパートナーシップ
C2PAには、世界各国の多種多様な業界から170を超える企業・組織が参加している。(2024年8月現在)
(出典)C2PAホームページ
日本からもソニーがSteering Committee(運営委員会)メンバーとして参加している他、一般会員としてキヤノン、富士フイルム、日本放送協会(NHK)、ニコンの各社・団体が参加している。サイバートラストも一般会員として参加している。
C2PAの活動は、運営委員会メンバーを中心にテクニカルワーキンググループ(TWG)が組織され、さまざまな参加者が議論や協議を行っている。また、関連団体とも密接に連携していて、特にC2PA発足の母体の一つであるContent Authenticity Initiative(CAI)は、C2PAの仕様に沿ってコンテンツクレデンシャル(コンテンツ認証情報)を確認できるVerifyサイトや学習・開発などに利用できるオープンソースツールを提供するなど、 C2PAの普及活動を行っている。
C2PAの仕組みについて
C2PAはデジタルコンテンツの出所や編集履歴を証明するための技術標準を策定しているが、特にデジタル画像や動画に対して、その信頼性を保証するために設計されている。C2PAの仕組みは、コンテンツクレデンシャルと呼ばれるメタデータをデジタルコンテンツに埋め込むことで機能する。メタデータとは、デジタルファイルに埋め込まれる追加情報で、コンテンツの作成者、作成日時、編集履歴などの詳細を含むことができる。
現在は、一般的に使われることの多い、AVI、JPEG、 M4A、MOV、MP3、MP4、PNG、SVG、TIFF、WAVなどの画像ファイルや動画ファイル、音声ファイルの形式がサポートされている。
・メタデータの付与
C2PAの技術では、デジタルコンテンツが生成または編集された際に「マニフェスト(Manifest)」と呼ばれるデータを埋め込む。このマニフェストには、コンテンツがどこで、いつ、誰によって作成されたか、さらにどのように編集されたかの情報が記録される。このマニフェストによって、コンテンツが生成された時点から、その後、仮に複数回の編集を経ても一連の変更履歴として情報が蓄積され、コンテンツの信頼性を確認するための重要な情報となる。また、マニフェストの信頼性を保証するために暗号技術(デジタル署名やタイムスタンプ)を利用しており、メタデータが改ざんされることを防ぎ、安全に保持される仕組みになっている。
(出典)Content Credentials : C2PA Technical Specification
・メタデータの確認
C2PAのメタデータは、前述のCAIが公開しているVerifyサイトやオープンソースツールを使用して内容を見ることができる。またCAIは「コンテンツクレデンシャルピン」(CRピン)という、画像や動画などのコンテンツを表示するソフトウェア上で簡単にコンテンツの来歴を確認できるアイコンの普及も進めており、 AdobeやMicrosoftなどが実装推進を表明している。これらのツールや機能を用いることで、ユーザーはコンテンツの出所や編集履歴を確認し、その信頼性を判断することができる。ただし、特に画像ファイルからメタデータを削除することは非常に容易であり、メタデータを付与することが信頼性を確保する完全な解決策ではないため、電子透かし技術(Watermark)との併用など継続的な技術開発が進められている。
C2PAを活用する具体的な事例
C2PAの技術は既にさまざまな分野で実証実験から実際に活用される段階に入り始めており、ここではいくつかの具体的な事例を紹介する。
・ニュースメディアでの活用
BBCなどの報道機関は、例えばTNI(Trusted News Initiative)パートナーシップやProject Originなど、C2PAの技術を活用してニュース映像や画像、その他テキストベースのデジタルメディアなどの出所を明確にし、情報の信頼性を高める取り組みを行っており、視聴者は報道内容の真正性を確認することで誤情報の拡散を防ぐことができる。まだ実活用段階ではないが、日本ではNHK放送技術研究所が、偽情報・誤情報のまん延防止や視聴者に信頼される放送を目指して研究開発を進めており、NHK放送技研公開でプロトタイプを公開するなどしている。
・生成AIコンテンツの来歴付与
一部の生成AIは、生成した画像ファイルにC2PAメタデータを埋め込むことで、それが生成AI由来のコンテンツであることを証明するようになっている。なお、アメリカにおいては2023年10月に「安全、安心、信頼できる人工知能に関する大統領令※1」が発行され、AI生成コンテンツを明確にラベル付けするためのコンテンツ認証と透かしのガイドラインを作成する、としている。
(出典)Content Credentialsホームページ
・デジタルカメラへの導入
LeicaはC2PAに基づいた真正性証明機能をデジタルカメラに実装しており、撮影された画像データの出所を確認できることで写真の信頼性を保証している。また、ソニーのデジタルカメラも一部の報道機関向けにC2PA機能の提供を開始している。
C2PAに対応した製品例
いくつかの製品やサービスで、C2PAの技術の実装を見ることができる。
・デジタルカメラ:Leica M11-P※2
Leicaは世界初のC2PA対応デジタルカメラとして、2023年10月にプロフェッショナル向けカメラ「M11-P」を発表した。画像データの生成と編集の透明性を高め、画像データの来歴情報の認識が可能になっている。
・画像編集ソフトウェア:Adobe Photoshop※3
AdobeはPhotoshopデスクトップbeta版にC2PAの技術をContent Credentials(Beta)として実装しており、作成者がコンテンツを書き出しまたはダウンロードする際に、コンテンツクレデンシャル情報を追加できる(ファイル形式はJPGとPNGのみ)。
・画像生成AI:Microsoft Bing Image Creator※4
MicrosoftはBing Image CreatorにC2PA規格のメディア証明機能を実装しており、暗号化手法を用いて、AI が生成したコンテンツにその出所に関するメタデータをマークし、署名する、としている。
・画像生成AI:OpenAI DALL·E 3※5
OpenAIはDALL·E 3にC2PA準拠のメタデータを自動的に追加する機能を導入している。これにより、画像がAIによって作成されたものであることを識別できるようになっている。
・ブラウザ拡張機能:Digimarc※6
Digimarcは業界初となるオープンソースのGoogle Chromeウェブブラウザ拡張機能をベータリリースしており、マニフェストが存在する画像をブラウザで表示した場合にCRピン機能を利用できるようにしている。
これらの製品・サービスは、C2PAの技術を活用している先進的な一例であり、またFacebookやInstagram、LinkedInといったデジタルコンテンツを取り扱うソーシャルメディアプラットフォームでのC2PA対応も進められており、さらに多くの製品やサービスに実装されることが期待されている。
※2 https://leica-camera.com/ja-JP/photography/cameras/m/m11-p-black
※3 https://helpx.adobe.com/jp/photoshop/using/content-credentials.html
※4 https://blogs.bing.com/search/september-2023/Bing-Preview-Release-Notes-New-Experiences-Powered-by-Bing-Image-Creator
※5 https://help.openai.com/en/articles/8912793-c2pa-in-dall-e-3
※6 https://www.digimarc.com/press-releases/2023/11/30/digimarc-launches-industry-first-c2pa-content-credentials-browser
C2PAの課題と限界
このようにデジタルコンテンツの信頼性を高める取り組みとして有効なC2PAであるが、現時点ではいくつかの課題と限界も存在する。
・技術的な課題
C2PAはデジタルコンテンツにメタデータを埋め込むことでその出所や編集履歴を証明するが、そのメタデータによって、コンテンツ自体の品質を損なわないようにすることや、ファイルサイズが増大しすぎないことが求められる。また、異なるフォーマット形式への変換時やプラットフォーム間での互換性を確保すること(メタデータが欠落しないようにすること)も重要である。
・信頼の起点の課題
C2PAは、デジタル署名等に利用する電子証明書に関する汎用のC2PAトラストリスト(C2PAエコシステム内で信頼できる署名者を識別する起点となる、信頼できるルート証明書の一覧)について、仕様上、言及はしているが未リリースである。また、 C2PAトラストリストは、主にC2PAを利用するハードウェアデバイスやソフトウェアの識別に焦点を当てており、メディア業界等における利用の識別とは区別する考え方もあるようだ。後者については、実装者や利用ドメインが適切な信頼モデルやトラストリストを選択・構築することも仕様上認められており、いずれにしてもグローバルで、または業界全体で共通の信頼の起点となるパブリックトラストリストの早期確立が期待される。
・鍵管理の課題
上記信頼の起点と併せて、コンテンツ発出・編集者側では、C2PAのデジタル署名に使用する自らの秘密鍵を正しく管理することが、コンテンツクレデンシャルの信頼性の確保には欠かせない。秘密鍵の紛失・漏洩は、悪意の第三者によるなりすましの署名につながる可能性もある。実利用段階に至る際には、既に製品・サービスに組み込まれている以外の場合、USBやHSM(Hardware Security Module)、リモート署名サービスを利用した自らの秘密鍵の管理・運用方法なども要検討であろう。
・普及の課題
C2PAを広く普及させるためには、多くの企業や組織がこの規格を採用する必要がある。しかし、全ての関係者が一斉に採用し、実装することは不可能であり、全世界で広く普及するまでにはまだ相応の時間を要すものと考えられる。
・偽情報対策の限界
C2PAはあくまでもデジタルコンテンツの来歴を示すものであって、コンテンツ自体の真偽を証明することはできない。そのため、偽情報の拡散を完全に防ぐことは困難であり、あくまでもユーザー自身がメタデータの情報を確認し、コンテンツの信頼性を判断する必要がある。
・耐量子計算機暗号対応
C2PAは、デジタル署名などにおいて既存の暗号技術(RSAやECDSA)を用いており、これらは量子コンピュータの進化と共に脆弱となる可能性が指摘されている。これに対し、NIST (米国標準技術研究所)はPQC(耐量子計算機暗号)への暗号移行に向けた標準化作業を進めている。C2PAはまだPQCの利用や移行について言及していないが、将来的に移行を検討する必要が生じて来ると考えられる。
これらの課題と限界を乗り越えるためには、技術の進化だけでなく、デジタルカメラや生成AI、画像編集ソフトウェア、ニュースメディアなどのような、コンテンツの生成から配信に直接関わる業界のみならず、コンテンツを表示・再生するアプリケーションやプラットフォーム側での対応も進められる必要があり、つまりは社会全体での協力とコンセンサスの形成が不可欠であり、多種多様な企業・組織からのC2PA参加メンバーによって継続的に議論されている。
C2PAの将来展望
C2PAはその普及と発展に向けて様々な取り組みを進めているが、今後の展望としていくつかの重要な方向性が挙げられる。
・国際的な普及と標準化
C2PAはコンテンツクレデンシャルの採用をインターネット全体に拡大することを目指しており、C2PAの仕様を国際標準規格(ISO)にしようとする取り組みがなされている。
・教育キャンペーンの展開
C2PAはデジタルコンテンツの生成や公開に関する理解と認識を広めるための教育キャンペーンを開始している。このキャンペーンは、MicrosoftとOpenAIにより設立されたSocietal Resilience Fund(社会レジリエンス基金)からの助成金を受けて実施され、コンテンツクレデンシャルの有用性について説明し、コンテンツの信頼性に対するユーザーの意識を高めることも目的としている。
・グローバルな普遍性の追求
C2PAは、あらゆるハードウェアやソフトウェア、プラットフォームにおいて幅広く利用可能となることを目指している。ブラウザやTV、その他街中や電車の中など至る所に存在するデジタルサイネージで表示されるコンテンツの全てにCRピンが見えているという世界になれば、CRピンが無いコンテンツは怪しいと誰もが感じるようになり、偽情報の流布は困難になっていくかもしれない。
まとめ
C2PA(Coalition for Content Provenance and Authenticity)は、デジタル時代における情報の信頼性を確保するための技術標準である。本記事では、C2PAの基本概念から適用例、そして将来の展望まで幅広く解説した。
C2PAは、デジタルコンテンツにメタデータを埋め込むことで、その出所や編集履歴を証明する仕組みを提供している。この技術は、偽情報や誤情報の拡散が社会問題となっている現代において、コンテンツの信頼性を示す極めて重要な役割を果たしており、デジタルカメラや画像編集ソフトウェア、生成AI、ニュースメディアなど、様々な分野で実際に活用され始めている。
しかし、C2PAには、コンテンツ自体に及ぼす影響、信頼の起点や鍵管理、技術の普及など、解決すべき課題が存在する。これらの課題に取り組みながら、C2PAは今後さらなる発展を遂げていくことが期待されている。
デジタルコンテンツの信頼性を高め、透明性のあるデジタル社会を実現するための手段として、C2PAの重要性は今後ますます高まるものと考えられ、その発展と普及に大いに注目していく必要がある。
(参考)C2PAに興味を持たれた方に
C2PAに興味を持ち、より詳しい情報を知りたい方は、以下のC2PAホームページを参照されたい。
https://c2pa.org/
また、実際にC2PAの技術に触れたり、活用したりしたい方、 C2PAの取り組みに参加したい方は以下を参照されたい。
●デジタルコンテンツへのコンテンツクレデンシャルの付与を試してみたい方:
前述の「C2PAに対応した製品例」に挙げたような、C2PAに対応した製品・サービスを利用されたい。
●ファイルに付与されたコンテンツクレデンシャルの内容を確認してみたい方:
以下のVerifyサイトにコンテンツクレデンシャルが付与されたファイルをドロップすることで、コンテンツの来歴情報を確認することができる。
https://contentcredentials.org/verify
なお、手短に試されたい方は、例えばCAIのBlog(例:以下URL)上のJPEG画像の多くがコンテンツクレデンシャル付きなので、ダウンロードして上記Verifyサイトで見てみる方法がある。
https://contentauthenticity.org/blog/august-2024-this-month-in-generative-AI-forensics-weaponized
また、Leica社が自社のC2PA対応デジタルカメラM11-Pを使用して撮影し、それをAdobe社の画像編集ソフトウェアPhotoshopで編集したサンプル画像を公開している。以下のサイトの中ほど、「A look at the Content Credentials」の項目の下部にある[→Analyze Credentials]をクリックすることで、コンテンツクレデンシャルの内容がどのように表示されるかを確認することができる。
https://leica-camera.com/en-US/photography/content-credentials
●C2PAに関わる実際の開発・実装や、それに向けての技術的なより深い理解を希望する方:
CAIがツールやSDKをオープンソースとしてGitHubにて公開している。
https://opensource.contentauthenticity.org/docs/introduction
https://github.com/contentauth
C2PA toolあたりから試されるのがよいと思う。ツールにはサンプルの電子証明書と鍵ペアも1セット含まれており、デジタル署名を含むコンテンツクレデンシャルの作成やコンテンツへの付与が試せる。
なお、特にC2PA関連のコミュニティ(後述)に参加しなくても、これらのオープンソースの利用やC2PA技術の利用に問題はない。
●C2PAのデジタル署名に利用する電子証明書について検討されようとしている方:
実証実験(PoC)を含め、あるドメイン内でC2PAを利用しようとする場合、複数枚の電子証明書が必要になるケースもあるかと思うが、前述の通りC2PAトラストリストはまだ確立されておらず、現状は独自に認証局(CA)を用意して証明書を発行するか、一般に販売されている証明書を流用するかになる。
CAIのGetting Startedには、reference onlyとしてSSL/TLS証明書の販売サイトがいくつか例示されているが、厳密にはSSL/TLS証明書のC2PAへの利用は利用規約やCP/CPS(認証局運用規)の利用目的からは外れると思われる。当社もeシール用証明書を含め、サイバートラストiTrust電子署名用証明書での検証も行っているが、独自のテスト用認証局も試すなどもしており、簡単な質問や情報交換のレベルから気軽に相談いただきたい。
●C2PA関連のコミュニティ参加を検討されようとしている方:
C2PA関連のコミュニティとしては、CAIとC2PAがある。 CAIは、ユーザー層としてクリエイティブ業界やメディア、プラットフォーム企業など、様々な企業が非常に数多く参加しており、また個人での参加も可能である。事例紹介などもあることから、まずは情報収集やネットワーキング目的で参加してみるのは一つのアプローチであると思う。ちょうど、“A new era of CAI community: workshops and events for our members” の中でCAI community hubへの参加を呼び掛けており、以下を参照されたい。
https://contentauthenticity.org/blog/cai-events-september-2024
一方、C2PAは仕様検討・策定が主となっていくことから、前述のツール・SDKを試すなどして理解を深めてから加入の要否を検討するのでも遅くはないと思う。C2PA参加の詳細は以下の通り。
C2PAの会員種別は、権限に応じて以下の3種類がある。(金額はいずれも2024年8月現在)
・運営メンバー(Steering Member):年会費$27,000
各ワーキンググループに参加でき、メンバーシップ契約で免除されない限り運営委員会にも参加できる。
・一般会員(General Member):年会費$5,000
各ワーキンググループに参加できるが、運営委員会には参加できない。
・貢献者(Contributor):年会費無料
運営委員会によって指定されたワーキンググループに参加できるが、運営委員会には参加できず、投票に参加する資格は無い。
なお、C2PAに入会するためには、別途Linux Foundationにも参加する必要がある。詳細は以下のC2PAメンバーシップサイトを参照してほしい。
