Runtime Immunity Definition Document v1.1

Essential Definition and Technical Framework of Runtime Immunity

v1.1 (Fully Integrated Edition) · March 2025 · Public Edition

§1Conceptual Definition

§1.1Single-Sentence Definition of Runtime Immunity

Runtime Immunity: A technology framework that structurally nullifies the preconditions or outcomes of attacks even when attacks reach the system, maintaining protection attributes without halting the system.

§1.2Expanded Definition: Structure-Based Protection

"Severing the Causal Relationship Between Breach and Damage"

Conventional security has implicitly assumed that "defense breach = damage occurrence." Runtime Immunity is a technology framework that structurally severs this causal relationship itself. Even when an attack "reaches" the system, the "outcome" holds no usable value.

Why "Structural Nullification"?

Because it does not depend on detection, it can address unknown threats (0-day). Because it requires no human response, it provides consistent 24/7 protection. Furthermore, by structurally severing the causal relationship between attack success and damage occurrence, it structurally minimizes legal and financial risk (damages claims, fines, GDPR penalties) and structurally makes it difficult for breach notification obligations to arise.

⚠️ NOTICE: Regarding "Structurally Infeasible": "Structurally infeasible" does not mean "100% impossible." Claims of completeness may become a legal vulnerability; therefore, this definition adopts expressions such as "structural minimization" and "computationally infeasible."

§1.3Two Design Principles of Runtime Immunity

Principle 1: Detection Independence

The effectiveness of protection mechanisms does not depend on the success or failure of attack detection. Even when detection gaps exist, attack outcomes are structurally nullified. This is the fundamental difference from Runtime Security and the greatest strength of Runtime Immunity.

Principle 2: Structural Embedding

Protection is embedded into the system architecture and does not depend on runtime detection or decision-making. This includes protections implemented at the design stage, such as memory encryption, process isolation, and environment binding.

§1.4Characteristics Derived from Runtime Stability Design Philosophy

Characteristic 1: Non-Halting

The system is not halted even under attack. This is an essential characteristic for protecting "unstoppable systems" such as autonomous vehicles, medical devices, and industrial control systems.

Characteristic 2: Homeostasis Maintenance

The system's protection attributes remain unchanged before and after an attack. Similar to biological homeostasis, the system autonomously maintains a stable state internally.

§1.5Position within Runtime Stability and Contribution to 7 Attributes

Runtime Immunity is positioned as structure-based protection within the Runtime Stability framework. It makes a direct contribution particularly to Inexploitability.

Table 1: Runtime Immunity's Contribution to the 7 Attributes

Attribute	Contribution	Runtime Immunity's Role	Relationship with Runtime Security
Safety	★★★★★	Structurally prevents transitions to dangerous states	Coordinates with monitoring and detection
Reliability	★★★★★	Guarantees automatic continuation of protection functions	Coordinates with monitoring and recovery
Availability	★★★☆☆	Somewhat limited structurally	Primary responsibility of Security
Controllability	★★★★☆	State awareness and steering mechanisms	Coordinates with dynamic control
Confidentiality	★★★★★	Fundamental protection through encryption	Coordinates with detection and restriction
Data Integrity	★★★★★	Implements tamper-proof structures	Coordinates with detection and prevention
Inexploitability	★★★★★	Structural nullification of attack outcomes	Limited in Security alone

§2Problems Addressed

§2.1Limitations of Detection-Dependent Security

Detection-based security such as Runtime Security has inherent limitations. Detection gaps inevitably exist, unknown threats (0-day) cannot be addressed, and temporal delays allow damage to occur.

Runtime Immunity fundamentally resolves these limitations by structurally nullifying attack outcomes regardless of detection success or failure.

§3Technical Definition

§3.1Realization Structure of Runtime Immunity

Runtime Immunity nullifies attack outcomes through three realization forms corresponding to each stage of the attack chain.

§3.2Three Realization Forms

Form 1: Target Elimination

Achieves a state where attackers cannot identify or locate attack targets. Example: In an environment where critical server locations are concealed on the network and all process memory is uniformly encrypted, attackers cannot locate valuable data.

Form 2: Precondition Removal

Achieves a state where the "tools" and "conditions" required for an attack are structurally absent. Example: Encryption keys are not persistently stored but dynamically derived from the physical environment only at execution time. Access privileges required by malware are structurally eliminated.

Form 3: Spoils Nullification

Even when an attack reaches and executes, the obtained outcomes hold no usable value. Example: A successful memory dump yields only undecryptable ciphertext. Stolen authentication credentials are bound to the execution environment and are unusable in other environments.

§4Nullification Level Definition

§4.1Why Level Definitions Are Necessary

The degree of "structural nullification" varies by implementation. Since claiming completeness poses legal risk, nullification is defined quantitatively.

§4.2Two-Axis Nullification Evaluation Framework

Key Recognition: The information-theoretic axis and economic rationality axis are independent axes.

Axis A: Information-Theoretic Nullification

Mathematical decryption infeasibility based on Shannon's theorem. Evaluation based on classical computer computational capabilities.

NL-1 (Partial Information-Theoretic Nullification)

Condition: 50% or more of data obtainable through attack is computationally infeasible to decrypt
Example: 50% of process memory encrypted with security parameter of 128/256 bits or higher
Risk: Partial encryption means potential information leakage from unencrypted regions

NL-2 (Comprehensive Information-Theoretic Nullification)

Condition: 95% or more of data obtainable through attack is computationally infeasible to decrypt
Example: All process memory encrypted with security parameter of 128/256 bits or higher, keys not stored
Assurance: Computationally infeasible to decrypt as long as implementation conditions are met

Axis B: Economic Nullification

A state where "investment cost > obtainable benefit" is mathematically established from the attacker's perspective.

NL-3 (Practical Nullification)

Prerequisite: NL-2 (comprehensive encryption) must be implemented
Additional implementation: Per-session environment binding, one-time tokenization of credentials, privilege minimization
ROI analysis: Even if decryption succeeds, attacker's practical benefit is eliminated
Assessment: Theoretically the strongest class

§4.3Preparation for Post-Quantum Nullification (PQN)

Premises of current NL definitions:

Shannon's theorem (classical cryptography)
Security parameter of 128/256 bits or higher

Quantum-era threats:

Practical quantum computers: Expected 2030s–2040s
Shor's algorithm: Potential to break RSA, ECC, etc.

⚠️ NOTICE: Position of this document (v1.1): Recorded as a definition for the classical cryptography era. Valid as implementation criteria for 2025–2030. Updates are required for the post-quantum era after 2030.

§5Achievement Evaluation Framework

§5.1Runtime Immunity Level (IL-0 to IL-3) and Nullification Levels

Level	Description	NL Correspondence
IL-0	No structural protection	No structural protection in runtime environment
IL-1	NL-1 (partial nullification) achieved	Partial implementation of a single form
IL-2	NL-2 (comprehensive nullification) achieved	Integrated implementation of multiple forms (2+)
IL-3	NL-3 (practical nullification) achieved	Comprehensive implementation of all three forms

§6Relationship with Existing Technologies

§6.1Relationship with Confidential Computing (TEE, SGX, etc.)

Runtime Immunity is a technology framework that may include but is not limited to Confidential Computing. TEE and SGX are excellent realization means for Runtime Immunity, but they have the limitation of hardware dependency.

§7Application Domains

Runtime Immunity applies to "unstoppable systems," "systems that cannot tolerate damage," and "systems requiring comprehensive protection."

Autonomous vehicles and connected cars
Medical devices and healthcare information systems
Core business systems in financial institutions
Industrial control systems and smart grids
Critical social infrastructure
Defense-related systems

§8Glossary

Nullification: A state where data obtained through attack holds no usable value for the attacker
Information-Theoretic Nullification: An encryption state that is computationally infeasible to decrypt
Economic Nullification: A state where the attacker's ROI is negative even if decryption succeeds
Post-Quantum Cryptography (PQC): Cryptographic technology resistant to quantum computers
Environment Binding: Technology that dynamically binds authentication information to the execution environment

§9Revision History

v1.0 (March 2025): Initial release
v1.1 (March 2025) Precision Edition: Explicit separation of NL axes. Added PQN preamble.
v1.1 (March 2025) Fully Integrated Edition: Integrated v1.1 revisions into the complete v1.0 body.

§10About This Document

§10.1Purpose

This definition document establishes the essential definition of Runtime Immunity and systematically positions the technology framework for structurally nullifying attack outcomes within the Runtime Stability framework.

§10.2Cross-References

Runtime Stability Definition v3.3: Overall framework concepts and 7-attribute integration
Runtime Security Definition v1.1: Detection-based protection system (3-axis SL evaluation, including RS-6 limitations)

*Runtime Stability — Technology that controls an unstoppable world. Breached, yet unshaken.*

Runtime Immunity 定義書 v1.1

ランタイム免疫の本質的定義と技術体系

v1.1（完全統合版） · 2025年3月 · 公開版

§1概念定義

§1.1Runtime Immunityの一文定義

Runtime Immunity（ランタイム免疫）：攻撃がシステムに到達した場合であっても、攻撃の前提条件または成果を構造的に無価値化し、システムを停止させることなく保護属性を維持する技術体系。

§1.2定義の展開：構造ベースの保護

「被害の因果関係の断絶」

従来のセキュリティは、『防御の突破＝被害の発生』を暗黙に前提としてきた。Runtime Immunityは、この因果関係そのものを構造的に切り離す技術体系である。攻撃が『到達』しても、その『成果』が利用可能な価値を持たない状態を実現する。

なぜ「構造的無価値化」なのか

検知に依存しないため、未知の脅威（0-day）にも対応できる。また、人的対応を必要としないため、24時間365日の一貫した保護を提供する。さらに、攻撃成功から被害発生までの因果関係を構造的に断絶するため、法的・財務的リスク（損害賠償請求、罰金、GDPR等の制裁金）を構造的に最小化し、侵害通知義務の発生を構造的に困難にする。

⚠️ 「構造的に困難」について： 「構造的に困難」であって「100%不可能」ではない。完全性の主張は法的に突破口となるため、本定義では「構造的最小化」「数学的に困難」という表現を採用する。

§1.3Runtime Immunityの2つの設計原則

原則1：検知非依存性（Detection Independence）

保護メカニズムの有効性が、攻撃検知の成否に依存しない。検知漏れが存在しても、構造的に攻撃成果を無価値化する。これはRuntime Securityとの根本的な違いであり、Runtime Immunityの最大の強みである。

原則2：構造的組み込み（Structural Embedding）

保護をシステムアーキテクチャに組み込み、実行時の検知や判断に依存しない。メモリ暗号化、プロセス隔離、環境束縛など、設計段階で実装される保護である。

§1.4Runtime Stabilityの設計思想から派生する特性

特性1：非停止性（Non-Halting）

攻撃下でもシステムを停止させない。これは自動運転車両、医療機器、産業制御システムなど、『止められないシステム』を保護するための必須特性である。

特性2：恒常性維持（Homeostasis Maintenance）

攻撃前後でシステムの保護属性が変わらない状態を実現する。生体の恒常性維持（ホメオスタシス）と同様に、システムが内部で自律的に安定状態を保つ。

§1.5Runtime Stabilityにおける位置づけと7属性への貢献

Runtime Immunityは、Runtime Stabilityフレームワークにおいて、構造ベースの保護として位置づけられる。特にInexploitability（攻撃不成立性）に対して直接的な貢献を行う。

表1：Runtime Immunityの7属性への貢献度

属性	貢献度	Runtime Immunityの役割	Runtime Securityとの関係
Safety（安全性）	★★★★★	危険状態への遷移を構造的に防止	監視×検知と協調
Reliability（信頼性）	★★★★★	保護機能の自動継続を保証	監視×復旧と協調
Availability（可用性）	★★★☆☆	構造的にはやや限定的	Securityの主領域
Controllability（制御性）	★★★★☆	状態把握・操舵機構	動的制御と協調
Confidentiality（機密性）	★★★★★	暗号化による根本的保護	検知×制限と協調
Data Integrity（完全性）	★★★★★	改ざん不可構造を実装	検知×防止と協調
Inexploitability（不成立性）	★★★★★	攻撃成果の構造的無価値化	Securityでは限定的

§2解決する課題

§2.1検知に依存するセキュリティの限界

Runtime Securityなど検知ベースのセキュリティには本質的な限界がある。検知漏れが必ず存在し、未知の脅威（0-day）には対応できず、時間的遅延により被害が発生する。

Runtime Immunityは、検知成否に関わらず、攻撃成果を構造的に無価値化することで、この限界を根本から解決する。

§3技術的定義

§3.1Runtime Immunityの実現構造

Runtime Immunityは、攻撃チェーンの各段階に対応する3つの実現形態により、攻撃成果を無価値化する。

§3.23つの実現形態

形態1：攻撃対象の消失（Target Elimination）

攻撃者が攻撃対象を識別・特定できない状態を実現する。例：重要サーバのネットワーク上の所在を秘匿し、全プロセスメモリが均一に暗号化されている環境では、攻撃者は価値データの所在を特定できない。

形態2：前提条件の除去（Precondition Removal）

攻撃に必要な『道具』『条件』が構造的に存在しない状態を実現する。例：暗号鍵が永続保存されず、実行時のみ物理環境から動的に導出される構造。マルウェアが必要なアクセス権限が構造的に排除される。

形態3：戦利品の無価値化（Spoils Nullification）

攻撃が到達・実行されても、得られた成果が利用価値を持たない状態を実現する。例：メモリダンプ成功でも復号不能な暗号文のみ取得。認証情報窃取も実行環境に束縛されていて別環境では利用不可。

§4無価値化レベルの定義（Nullification Level）

§4.1なぜレベル定義が必要か

「構造的無価値化」の程度は実装により異なる。完全性を主張することは法的リスクとなるため、無価値化を定量的に定義する。

§4.2無価値化の2軸評価フレームワーク

重要な認識：情報理論軸と経済合理性軸は独立した軸である。

A軸：情報理論的無価値化（Information-Theoretic Nullification）

Shannon's theoremに基づく数学的復号不可性。古典コンピュータの計算能力に基づいた評価。

NL-1（部分的情報理論的無価値化）

条件：攻撃により取得されるデータの50%以上が数学的に復号困難
具体例：プロセスメモリの50%がセキュリティパラメータ128/256ビット以上で暗号化
リスク評価：部分暗号化のため、未暗号化領域からの情報漏出の可能性あり

NL-2（全体的情報理論的無価値化）

条件：攻撃により取得されるデータの95%以上が数学的に復号困難
具体例：全プロセスメモリがセキュリティパラメータ128/256ビット以上で暗号化、鍵は非保存
保証：実装条件を満たす限り、数学的に復号困難

B軸：経済合理性的無価値化（Economic Nullification）

攻撃者視点での「投入コスト > 得られる利益」が数学的に成立する状態。

NL-3（実務的無価値化）

前提条件：NL-2（全体的暗号化）を実装していることが必須
追加的実装：セッション別環境束縛、認証情報の一回限りトークン化、権限最小限化
ROI分析：復号成功でも攻撃者の実利が消滅
評価：理論上は最強クラス

§4.3Post-Quantum Nullification（PQN）への準備

現在のNL定義の前提：

Shannon's theorem（古典暗号学）
セキュリティパラメータ128/256ビット以上

量子時代の脅威：

量子コンピュータの実用化：予想2030s-2040s
Shor's algorithm：RSA, ECC等が破壊される可能性

⚠️ 本定義書（v1.1）の位置づけ： 古典暗号学時代の定義として記録。2025-2030年の実装基準として有効。2030年以降の量子時代では更新が必須。

§5達成度評価の枠組み

§5.1Runtime Immunity Level（IL-0～IL-3）と無価値化レベル

レベル	説明	NL対応
IL-0	構造的保護なし	ランタイム環境での構造的保護なし
IL-1	NL-1（部分的無価値化）実現	単一形態の部分的実装
IL-2	NL-2（全体的無価値化）実現	複数形態の統合実装（2つ以上）
IL-3	NL-3（実務的無価値化）実現	3つの実現形態すべてを包括的に実装

§6既存技術との関係

§6.1Confidential Computing（TEE、SGX等）との関係

Runtime Immunityは、Confidential Computingを含みうるが、それに限定されない技術体系である。TEEやSGXはRuntime Immunityの優れた実現手段の一つであるが、ハードウェア依存という制限がある。

§7適用領域

Runtime Immunityの適用領域は、『止められないシステム』『被害を許さないシステム』『完全な保護が必須なシステム』が対象である。

自動運転車両・コネクテッドカー
医療機器・医療情報システム
金融機関のコア業務システム
産業制御システム・スマートグリッド
重要社会基盤（インフラ）
防衛関連システム

§8用語集

無価値化（Nullification）：攻撃により取得されたデータが、攻撃者にとって利用価値を持たない状態
情報理論的無価値化：数学的に復号困難な暗号化状態
経済合理性的無価値化：復号成功でも攻撃者ROIが負値の状態
Post-Quantum Cryptography（PQC）：量子コンピュータ耐性を持つ暗号技術
Environment Binding（環境束縛）：認証情報を実行環境に動的に束縛する技術

§9改訂履歴

v1.0（2025年3月）：初版公開
v1.1（2025年3月）精密版：NL軸の分離明示。PQN前置き追加。
v1.1（2025年3月）完全統合版：v1.0の完全な本体にv1.1修正点を統合。

§10本文書について

§10.1本定義書の目的

本定義書は、Runtime Immunityの本質的な定義を確立し、攻撃成果を構造的に無価値化する技術体系をRuntime Stabilityフレームワークの中に体系的に位置づけることを目的としている。

§10.2相互参照

Runtime Stability Definition v3.3：フレームワーク全体の概念・7属性統合
Runtime Security Definition v1.1：検知ベースの保護体系（3軸SL評価、RS-6限界含む）

*Runtime Stability — Technology that controls an unstoppable world. Breached, yet unshaken.*