スポンサーサイト

  • 2010.08.11 Wednesday
  • -
  • -
  • -
  • -
  • by スポンサードリンク

一定期間更新がないため広告を表示しています


セキュリティの限界はどこにあるのでしょうか。

IPAの事件に寄せて:ネットワークセキュリティの限界仮説
という記事を読んで、色々考えさせられました。

 コンピューターシステムのセキュリティ、という観点で言えば、本来守るべきものは「データ」と「ハードウェア・ソフトウェアの資源」に分離できると思います。前者は要するに情報漏洩することによる損害を防ぐことであり、後者はシステムを乗っ取られることによって個人ならば生活、企業ならば業務などに支障が出ないようにする、といったところでしょうか。

 現実問題として、単体のPCであれば直接アクセスしないとデータを吸い出したりシステムを乗っ取ったりできませんが、ネットワークに繋がっていれば、同一ネットワーク上のPCからも対象のPCを操作できる可能性が出てきます。さらにインターネットに繋げばその可能性は上がります。と言ったように、ネットワークが広がれば広がるほど、それ自体が脆弱性になりやすいのです。
 だから、記事にあるように
企業や役所など、ある組織体単位でのセキュリティを考える際に、やってることを乱暴に一言でまとめてしまうと、「ネットワークを閉じてしまう」ということになる。認証やアクセス権設定、ファイアウォールなどは、要すれば無関係な人が入ってこないように、余計なデータにタッチして余計な事件を引き起こさないように、という発想の延長線上にある。PCの持ち出しを禁止というのもざっくりとは延長線上で理解できる。つまり、裏返すと漏れたらどうしようもない。

 ということになってしまうのですが、このとき、結構な割合で「データやシステムを守る」から「ネットワークを守る」という方向に目的がシフトしてしまうことがあります。セキュリティを考える上で陥りがちな罠なのですが、「ファイアーウォールはここにある」「IDSはいれた」等、外部のネットワーク攻撃から守ることに固執し、内側のことに目を向けることがおろそかになってしまっていた、という話は今でもたまにあるようです。

 よくセキュリティについて出てくる言葉に、「最後の脆弱性は人間」というものがあります。今回のWinny事件にしても、業務でやってはいけないことをやる人間が出てきたから漏洩するわけです。今回の件に関しては悪意があったかどうかは兎も角、情報漏洩してしまった人にもかなりの重大な落ち度があるのでしょうが、ここまでの落ち度がなくても、個人が脆弱性になってしまうことはあり得ます。極端な話、ちょっとスクリーンセーバーを設定し忘れて放置したら、掃除の人に画面を見られて機密情報を覚えられてしまった、などという事態が発生しうるオフィスは、結構な数あるのではないでしょうか。

 結局のところ、ネットワークレベルでの防御にしろ、シンクライアント化や暗号化にしろ、大切なのは「一方向からの攻撃」ではなく、「システム上のどの点から攻撃が発生しても防げる方法論」なのかな、と思います。もちろんそれがシステム化だけで実現できるかというとそんなことはないので、セキュリティの「限界」を目指すのであれば、行きつく先は「ユーザーの教育がきちんとできていて、かつ、システム的にも内部・外部を問わず、きちんとセキュリティが実装されている」ことが目的となるべきです。

 さて、「ユーザーの教育」ですが、これだけ騒がれていても、「Winnyは情報漏洩するから禁止!」と表面的な講義をして、「Winnyは使いません」という誓約書を書かせるだけで「教育は終わった」と満足してしまうような会社が多いように思えますが、本当に大切なのは「セキュリティのリスク」を本当に認識できるように人を育てていくことだと思います。
 なぜファイル交換ソフトが使用されるかと言えば手軽に(違法ながらも)アニメや音楽などが手に入るからです。他にも似たような「ユーザー側から見た(一見)メリットに見える部分」と「管理側から見たリスク」はたくさんあって、ファイルの暗号化をせずにデータを送ったら漏洩したとか、ウイルス検査を怠ったらウイルスに感染した、という「手抜き」なども原因となりうるわけです。
 であれば、結局のところ最終的に「ユーザーという脆弱性をできる限り押さえる」には、それ以上のデメリット(「ファイル交換ソフトを業務と同じPCで使用したら即時解雇」といったような)を、実効性がある形で(「バレなきゃいいや」が通用しない形で)進めていくしかないのかもしれませんね。悲しいことですが、「ユーザーを信用する」ことは時として無力なもの、と言わざるをえません。

匿名性と安全性

オンライン匿名性の終焉--単一IDが与える影響を考える という記事より。長くなるので「記事の続き」のほうに本文は書きます。
続きを読む >>

利便性と危険性の狭間

 まず、「本当はもっと怖いGoogleマイマップ」という記事について。セキュリティ方面で有名な高木浩光氏のblogからです。

普通にマップを作っているときも、作成過程がそのまま実況中継のごとく公開され続ける。そんなこと誰が予見できようか?

たまたま Ctrl-V (Command-V)でクリップボード内の文字列をペーストしたら、前にコピーしていた機密情報がペーストされてしまい、慌てて消すなんてことがよくあるが、そのタイミングで自動保存されると、それが他人から閲覧可能になってしまう。

たったそれだけの操作ミスで情報流出が起き得る。Googleマイマップはそういうサービスだ。

 とのこと。現状で仕様が改善されているのかどうかは調べていませんが、少なくともこのような問題が存在した、ということで。

 例えば、MicrosoftのWord、あるいは秀丸エディタなどは設定により、保存するという動作を行わなくても一定時間ごとにバックアップを作成する機能があります。自動保存先がローカルであれば他人が見てしまう(=情報が漏洩する)可能性は低いので、この挙動は非難されることはあまりないでしょう。自動保存するかどうかの設定が可能である、という点も、自動保存に危険性を感じる人は使わないという選択肢を持つため有用です。

 ですが、それと同じような利便性をWebアプリで実装してしまうと、話はかなり変わってきます。Google マイマップが「完全な非公開にすることはできない」という性質にも問題はありますし、自動保存しない、という選択肢がないことにも問題があります。何より自動保存する機能があることをGoogleが公表していないのも問題でしょう。

 Google内部の開発者やサービスをデザインする立場の人が、どれくらいの頻度でオフラインのアプリケーションを使用しているのかは知りませんが、全く使用していないということは無いと思います。だからこそ、一般のアプリケーションには「あると便利な」機能を不完全なまま実装してしまい、このようなトラブルになりかねない仕様を作ってしまった、と言えなくはないでしょうか。


他にも、「誤って筋弛緩剤投与、患者死亡」という記事もありました。
当直の30代の女性医師は、患者のアレルギー体質を考慮して抗炎症剤の副腎皮質ホルモン「サクシゾン」の投与を決め、電子カルテのパソコン端末に記入。その際、最初の3文字(サクシ)だけを入力して薬剤名を検索したが、同病院でサクシゾンは扱っていなかったため、画面には筋弛緩剤の「サクシン」だけが表示された。

 病院によると、医師は画面を見たが「サクシゾン」のことと思いこんだという。

 そもそも効能のまったく違う薬品である2種類に似通った名前をつけることの是非、という問題もあるかもしれませんが。
 ただ、やはり医療現場となれば生命に関わる以上、十分な正確性が要求される場所であり、そういった場所で用いるのであれば薬品名は完全一致で入力しないと作動しないようにする、という処理は必要ではないかと思います。(それでも今回の事例で言えば、1文字入力が欠ける、いわゆる「typo」のようなものでも発生し得ますが。)


 Googleの事例にしても電子カルテの事例にしても、一見「便利な機能」が仇になっている部分が少なからずあるように思えます。もちろんコンピューターは人間を補助するためにあるものですから、利便性が追及されること自体は悪いことではないと思いますが、どのように使われるか、どのようなミスが発生するかを想定せずに手取り足取りのシステムを作り、操作が簡単になりすぎた結果、思わぬトラブルやヒューマンエラーの原因になる、といった事態が無くなることを祈るばかりです。


……Googleで「UAC」を検索すると、「他のキーワード」に「UAC 無効」「UAC 解除」「UAC オフ」などが出てきてしまうあたり、利便性と安全性のバランスって本当に難しいな、と思います。UACもオンにするかオフにするかでなく、その中間点(処理内容によっては自動で権限昇格を認めるなど)を簡単に変更できるような選択肢があればいいのに、とか……。XP以前との差がありすぎて余計に拒否反応が出ている、という側面もあるのでしょうが。

脆弱性とマッチポンプ

WEPは一瞬で解読――ニンテンドーDSはどうなる という記事より。

無線LANの暗号化技術であるWEPは以前から脆弱性が指摘されていましたが、最近では一瞬で解読できるようになってしまい、もはや「暗号化」ですらなくなりつつあります。
ところが「ニンテンドーDS」の無線LANはWEPにしか対応していないので、それが問題になっている、といったところでしょうか。

任天堂はこういったリスクについてどう考えているのだろうか。同社広報室は「WEPのぜい弱性は以前から指摘されていた」とし、新機種「ニンテンドーDSi」ではより強固な暗号方式・WPAを採用したと説明する。

これは当然のことだと思うのですが、

では、従来機種のユーザーはどうすればいいのだろうか。同社は「ニンテンドーWi-Fiネットワークアダプターのように、マルチセキュリティに対応したAPが増えている。そういったAPを使ってほしい」としている。

というのは如何なのでしょう。もちろん任天堂製品が嫌なら他のネットワークアダプターを使えばいいのですが、それにしてもこれでは「脆弱性があったから、それが嫌なら追加で部品を買ってください」と言っているわけで、製造者の責任という観点から見るとややいい加減に思えます。

また、記事で指摘されているように、
そういったAPを使っても、WEPを利用してる以上はネットワークへのただ乗りを防ぐことは難しい。

わけですが、それに対して、
同社は「ただ乗りはマナー違反。家の鍵が壊れていたからといって、侵入していいというものではない。マナーの向上を期待する」という立場だ。
DSのWEPの危険性を同社から告知する、といった活動を行う予定も特にないという。

という対処は、流石にいただけないでしょう。もちろん「ただ乗り」はマナー違反、それどころか違法な可能性も十分にありますが、「マナーの向上を期待する」で済むならセキュリティに関する機構はこの世に必要ありません。
裏を返せば、WEPという暗号化技術を搭載することは「マナーの向上を期待するだけでは駄目」ということが判っている証拠だと思うのですが、それに関しては触れていませんし。

技術的にDSのファームウエアを買い換える等の方法が採れないのは仕方ないにしても、希望者には有償で交換することで対応する等の方法を用意せず、「脆弱性が嫌なら後継商品を買え」というのはあまりに理不尽ではないのでしょうか。
(ニンテンドーDSの日本発売日は2004年12月、問題になっている脆弱性とは違うにしても、IVのコリジョンが発生してキーストリームが判る、という脆弱性は2005年の夏には公開されていましたから、2006年3月に発売したDS Liteに至っては「脆弱性があることを知っていてあえて発売に踏み切った」とも言えるわけです。)

やや違和感を感じるセキュリティの話題

「6億3700万人のブラウザユーザーが危険にさらされている」--研究者グループが警告

6億3700万人のウェブユーザーが現在、最新ではないインターネットブラウザを使用しており、より多くのウェブベースの攻撃にさらされている恐れがある。ある研究者グループが米国時間7月1日に明らかにした。

という記事の趣旨自体は興味深いのですが・・・。

研究者らはレポートの中で、IEの最新版であるIE 7の場合、リリース後19カ月経ってもIEユーザー全体の52%にしか普及していないと指摘している。今回、調査対象となったIEユーザーの48%は、最新ではないIE 7かIE 6を使用していた。

この表現にはやや違和感を覚えます。IE6はまだサポートが終了したわけではなく、修正はリリースされ続けています。もちろんIE6で発生したセキュリティ問題を踏まえて開発されているとはいえ、それこそ「まだ」19ヶ月しか経っていないIE7と、もう7年近く経っているIE6では、むしろIE6のほうが枯れている、という見方も出来るように思えるのですが・・・。
(もちろんセキュリティ的に危険なことを許容するべき理由となるかは別問題ですが、IE6でしか動作しないWebアプリケーションが存在することも拍車をかけている可能性はありますね。)

研究者らはレポートの中で、ソフトウェア業界と食品業界とを比較し、人々は最も安全な食品を購入する必要性を理解しているのに、なぜブラウザには無頓着なのかと主張している。人々は食品が腐りやすいものだと理解している。それなら、インターネットブラウザにも賞味期限を表示させたらどうか。研究者らは、ブラウザの右上の隅に「使用期限満了後145日経過、アップデートの未適用3回」と表示する例を挙げた。

これは確かに面白い発想なのですが、

しかし、食品業界と異なり、ソフトウェアベンダーには何ら法的責任はない。またソフトウェアベンダーにはソフトウェアのアップデートを提供する法的義務もない、と研究者らは指摘している。
もしも食品業界に腐った牛乳の販売に対する責任がなかったらどうなるか想像してみて欲しい。

この表現はいささか、違和感を感じます。
何故なら、食品業界はそれ自体が成熟している部分や、衛生面についての理化学的な研究も進んでいる分野です。食品の製造は「物理的に細菌などが混入しないようにする」、「安全に食品を食べられる期間を調査した上で、消費期限として設定する」という方法論があるからです。
それに対して、ソフトウェア開発という技術においては、少なくとも、「バグやセキュリティホールのないソフトウェアを開発する手法」というのは確立されていません。ですから、「食品業界と同じような責任を追及する」ことを望むのであれば、そもそもそういった開発方法が確立されていない分野であるコンピューターソフトウェアを用いるべきではないのです。(つまり、パソコンなど使ってはいけません。)

もちろん安全にインターネットに接続できる環境を追求するのは正しいことだと思いますが、人間の作った「ロジック」の組み合わせである以上、完璧であることをソフトウェアに期待するのは、逆に「あり得ない安全性を要求する」という意味でセキュリティとして正しいものではありません。本来の「セキュリティ」とは、機器が誤作動したり、ヒューマンエラーが発生したり、を最終的にどうくい止めるか、或いは被害を減らすか、を考慮すべきであって、理想論に終始してはいけないものだと思います。

calendar
   1234
567891011
12131415161718
19202122232425
2627282930  
<< November 2017 >>
sponsored links
selected entries
categories
archives
recent comment
recent trackback
recommend
links
profile
search this site.
others
mobile
qrcode
powered
無料ブログ作成サービス JUGEM