C2PA とは：最新動向と適用例

はじめに

最近、ニュース記事などで目にすることが多くなった「C2PA」という用語、みなさんご存じでしょうか？
正式には「Coalition for Content Provenance and Authenticity」と言って、コンテンツの出所・来歴の認証に関する技術標準を策定している標準化団体の略称です ^※1。日本語に訳すのは少々難しいのですが、C2PA 創設メンバーの 1 社であるマイクロソフトは「コンテンツの出所と信ぴょう性に関する連合」^※2、アドビは「コンテンツ来歴および信頼性のための標準化団体」^※3 と表現しています。

この C2PA は、2021 年にアドビ、Arm、インテル、マイクロソフト、Truepic などが中心となって創設され、デジタルコンテンツの生成元や変更履歴を証明できるメタデータを付与することで、ディープフェイクや偽情報の拡散を防ぐ技術の規格（仕様）化を行っています。なお、その普及・推進はアドビが主導する CAI（Content Authenticity Initiative）という団体が担っています ^※4。

C2PA に関する大きな動きとして、2023 年 5 月に開催されたマイクロソフトの開発者会議「Microsoft Build 2023」において、Microsoft Designer および Bing Image Creator に C2PA 規格の新しいメディア証明機能を実装する、と発表されたこと ^※5 にサイバートラストは注目しました。

これにより C2PA の普及に一層の弾みがつくと感じ、当社は 2023 年 11 月に General メンバーとして C2PA に加入しました ^※6。

C2PA には TWG（Technical Working Group）という部会が設置されていて ^※7、ほぼ毎日のようにオンラインミーティングが開催され、仕様の検討や技術的課題に関するディスカッションが活発になされています。

C2PA の動向

2024 年 1 月 25 日に、これまでの C2PA 仕様バージョン 1.4（2023 年 11 月公開）が大幅に改訂されて、2.0 にメジャーバージョンアップされました。

このバージョン 2.0 での概念的な大きな変更点は以下とされています ^※8。

This version represents a significant departure from previous versions. It no longer has any references to actors as humans or organizations, they can only be hardware or software entities.
（訳：このバージョンは、以前のバージョンから大きく変わっています。人間や組織としてのアクターへの言及はなくなり、アクターはハードウェアまたはソフトウェアのエンティティのみになる可能性があります。）

アクターとは、Glossary において「A human or non-human (hardware or software) that is participating in the C2PA ecosystem. For example: a camera (capture device), image editing software, cloud service or the person using such tools.」と定義されていて、"A human" の文字はありますが、今後はハードウェアまたはソフトウェアが C2PA 仕様の対象の中心になるものと考えられます。
そしてこの仕様改訂に前後して、ハードウェア・ソフトウェア各社から C2PA 対応に関して以下のような発表が相次いでいます。

2023 年 10 月：クアルコムが Snapdragon 8 Gen 3 で C2PA 対応を発表 ^※9
2023 年 10 月：ライカが世界初の C2PA 対応カメラ「M11-P」を発表 ^※10
2023 年 11 月：ソニーが C2PA 対応可能なカメラ「α 9 III」を発表（2024 年 3 月以降のカメラソフトウェアアップデートで C2PA 対応予定）^※11
2024 年 1 月：OpenAI が画像生成 AI である DALL·E 3 に C2PA 実装の計画を発表 ^※12
2024 年 2 月：Meta が Facebook、Instagram などへの生成 AI 由来画像の C2PA 対応計画を発表 ^※13

また、今年 2024 年は、1 月に実施された台湾の総統選を皮切りに、ロシアやアメリカなど世界の多くの国で大統領選挙や議会選挙が行われる予定で、「選挙イヤー」とも言われています ^※14。選挙戦となると、昔から怪情報や偽情報が流布されることがありました（主に紙ビラや口伝など）が、現代では SNS など情報拡散の手段が増えたことと、昨今の生成 AI の急速な進歩・普及により誰もが簡単にフェイク画像やフェイク動画などが作成できてしまう状況となったことが、倫理的・法的・社会的課題（Ethical, Legal and Social Issues、ELSI）として大きく懸念されています。2023 年 10 月 30 日には米国のバイデン大統領が「安全、安心、信頼できる人工知能に関する大統領令」を発行して ^※15、生成 AI によるコンテンツの認証とウォーターマーク（電子透かし）によるラベル付与を指示しています。最近は Google も C2PA 運営委員会に参加し ^※3、また AI 一般としては AI 悪用阻止協定が締結される ^※16 など、コンテンツの出所・信ぴょう性の重要性は増すばかりと考えられます。

C2PA に対応した DALL·E 3 を試してみた

先日、OpenAI から画像生成 AI である DALL·E 3 の C2PA 対応を開始したとの発表がありました ^※17。

早速、Bing Image Creator（Powered by DALL·E 3）を使用して画像を生成してみたところ、コンテンツの認証情報に「AI で生成」と表示されています。

Bing Image Creator（Powered by DALL·E 3）を使用して画像を生成

生成された JPEG ファイルを CAI の Verify サイトで検証してみると以下のように表示され、C2PA の仕様に準拠したコンテンツの来歴情報が含まれていることが確認できます。また、コンテンツ認証情報の発行元は「Microsoft Corporation」になっています。

生成された JPEG ファイルを CAI の Verify サイトで検証

次に、この JPEG ファイルをバイナリエディタで見ると、実際に C2PA 仕様に従った情報が組み込まれているのが見えます。C2PA 仕様の詳細については、詳しく解説されている記事 ^※18 などがあるのでここでは割愛しますが、例えば以下は、その中に含まれる証明書部分となります

JPEG ファイルをバイナリエディタで見ると

証明書の内容を確認すると、サブジェクトの CN（Common Name）と O（Organization Name）が「Microsoft Corporation」になっていることがわかります。

サブジェクトの CN（Common Name）と O（Organization Name）が「Microsoft Corporation」になっている

この証明書を発行した上位 CA（中間 CA、ルート CA）の証明書は、証明書の拡張領域に記載されている AIA（Authority Information Access）情報の URL で公開されています。証明書チェーンは以下となり、マイクロソフトのルート CA（Microsoft Supply Chain RSA Root CA 2022）から発行されていることがわかりました。

マイクロソフトのルート CA（Microsoft Supply Chain RSA Root CA 2022）から発行されている

今後、このような C2PA の署名に用いられるエンドエンティティ証明書やルート CA 証明書に、サイバートラストの証明書も使われるようにしたいと考えています。

「すべてのヒト、モノ、コトに信頼を」
これはサイバートラストの理念でありますが、このような C2PA での取組みもその一環として、安心・安全なデジタル社会の実現に貢献していきます。

以上

参照

※1: https://c2pa.org/
※2: https://news.microsoft.com/ja-jp/2021/03/09/210309-deepfakes-disinformation-c2pa-origin-cai/
※3: https://prtimes.jp/main/html/rd/p/000000400.000041087.html
※4: https://contentauthenticity.org/
※5: https://news.microsoft.com/build-2023-book-of-news/ja/
※6: https://www.cybertrust.co.jp/pressrelease/2024/0206-c2pa.html
※7: https://www.iptc.org/download/events/phmdc2021/CAI_Overview_Oct_Nov_2021.pdf
※8: https://c2pa.org/specifications/specifications/2.0/specs/C2PA_Specification.html
※9: https://www.qualcomm.com/products/mobile/snapdragon/smartphones/snapdragon-8-series-mobile-platforms/snapdragon-8-gen-3-mobile-platform
※10: https://leica-camera.com/ja-JP/photography/cameras/m/m11-p-black
※11: https://www.sony.jp/CorporateCruise/Press/202311/23-1107/
※12: https://openai.com/blog/how-openai-is-approaching-2024-worldwide-elections
※13: https://about.fb.com/news/2024/02/labeling-ai-generated-images-on-facebook-instagram-and-threads/
※14: https://www3.nhk.or.jp/news/html/20240101/k10014304961000.html
※15: https://www.whitehouse.gov/briefing-room/statements-releases/2023/10/30/fact-sheet-president-biden-issues-executive-order-on-safe-secure-and-trustworthy-artificial-intelligence/
※16: https://www.aielectionsaccord.com/uploads/2024/02/Press-Release-AI-Elections-Accord-16-Feb-2024.pdf
※17: https://help.openai.com/en/articles/8912793-c2pa-in-dall-e-3
※18: https://nttdocomo-developers.jp/entry/20231224_2

この記事の著者

サイバートラスト R&D センター

「R&D センター」は、2022 年 4 月 1 日に立ち上げられた研究開発部門です。
サイバートラストは、お客様のサービスの信頼性を支えるプラットフォーマーとして、先々のプラットフォームや社会制度、他がどのように変化するのかを考えています。
さまざまな IoT 機器が普及し、OSS や AI やブロックチェーンが活用され、量子コンピュータが発達する一方で、それらによる新たなセキュリティリスクも生じると想像される未来においても、引き続き、安心・安全な社会を実現するため、サイバートラストが果たす役割を含め、研究開発を進めています。

本文書内の組織名・内容などは、掲載日時点のものとなります。また、含まれるロゴ・商標などはそれぞれの所有者に属するものとなります。なお、本内容は可能性の一つを示したもので、サイバートラストの戦略などを示すものではなく、また未来を確約するものでもありません。