1. ホーム
  2. のらマネージャーのブログ
  3. セキュリティよしなし

セキュリティよしなし

セキュリティ3要素~後編

2003年11月15日 12:00

前回、セキュリティは3つの要素からなると述べた。それは、「機密性」「完全性」「可用性」だ。セキュリティにおいて、この三つの意味とその関係を良く理解することが後々、大切になる。特に「完全性」と「可用性」は誤解なく把握する必要がある。今回は、若干退屈かもしれないが、論理学の授業のような記載をして説明していこう。

まずは、それぞれの意味を一口で説明しておく。

・機密性
許可されている人だけが情報にアクセスできる状態

・完全性
情報が整合性が取れて保存されている状態

・可用性
必要な時に情報にアクセス出来る状態

○機密性⇔完全性?

ここで、まず、これら3要素のそれぞれが独立した概念であって、相互に影響し合わないことを説明しよう。
特に、機密性と完全性の関係については誤解しないように気をつけたい。
前回も述べたが、「機密性があればひとりでに、情報は完全なはずである。よって、情報が完全なら機密性もある」と考えるの人が意外と多い。しかし、完全だが、機密性のない状態というのも存在する。

「透明の封筒に入った情報は、情報を改ざんされない(改ざんされればそのことが判明してしまう)ので、完全性はある。一方で、封筒は透明なので、機密性はまったくない」

次に、機密性はあるが完全性はない状態というのも存在する。

「透明ではない封筒を3つ用意し、1つの情報を3つに分割して2つを送付し、1つを破棄する。そうすれば、情報としての完全性はない(本来3つそろわないとならないので)が、許された人にのみ情報が届くので、機密性はある」

このように、必ずしも、機密性と完全性の間には、論理的な関係が存在していないことがわかる。そして、どちらの例を見ても、どちらかだけあっても、セキュリティが確保されているとは言えないことも、直感的に分かって頂けると思う。

○機密性⇔可用性?

では、「可用性」と「機密性」はどうだろう?
可用性があって機密性がないものを考えるのは簡単だろう。ダウンしないように良く設計された一般向けに公開されているWebなどは典型的な例である。いつでもアクセス出来るが、全く機密性はない。次に、機密性があって可用性がないものを考えるのも簡単である。やたらダウンしてしまうようないい加減に設計されたシステムだが、指紋でしかアクセスできない、というようなものがそれといえる。おそらく、アクセスしたい時に出来る保証はない(可用性はない)が、特定の人だけがアクセスしうる(機密性はある)のである。

○可用性⇔完全性?

「可用性」と「完全性」はどうだろうか?
これもそれほど苦労なく思い付くはずである。可用性があって完全性がないものとしては、「誰もがFTPでアップロード可能なWebサイト」がそうである。
誰もがFTPでアップロードすることで、情報の一貫性は保証されえない(完全性がない)が、良く設計されたWebであればアクセスは自由に行える。
反対に、完全であるが可用性がないものとしては、「絶対開かない金庫に入った情報」が、そうといえる。利用したい時に利用は出来ない(可用性は全くなし)が、絶対に改ざんもされない。

○情報がセキュアであるということ

さて、情報がセキュアであるということが「特定の人のみが特定の時に特定の情報にのみ確実にアクセス出来る」と考えると、上記3つの要素のうち1つだけがあっても無意味であるということが分かって頂けたと思う。更に言えば、「情報にアクセスさせないこと、それのみ」という場合でも、機密性とは無関係だということも分かっていただけたかと思う。「誰もアクセス出来ない」というのは、機密性には存在しない要請だからだ。むしろ、先の要請の帰結として完全性は含まれることになる。

では、「特定の人のみが特定の時に特定の情報にのみ確実にアクセス出来る」ということを、分解して考えて見よう。

  • 特定の人が特定の情報にアクセス出来る
  • 特定の時に確実にアクセス出来る

このように分解すると、これらはそれぞれ、機密性と可用性を意味する文面になる。これは、文面からもわかるようにこの二つの確保が前提されている。では、完全性はどこに前提されているのだろうか?
これは、「特定の人ではない人が特定の情報にアクセス出来てはいけない=改ざんできてはいけない」という、機密性に関する文章の対偶ではなく逆が、暗黙に要請されているのである。(参考、対偶:「特定の情報にアクセス出来ないのは特定の人ではないからである」)

よって、機密性、可用性、完全性の三つが情報セキュリティにおいて明白に要請されることになる。

セキュリティ3要素~前編

2003年10月15日 12:00

IT業界が全般的に全般的に活気が薄い。ITバブルがはじけたから云々というよりは、ITに求められるニーズがだいたい埋まり、そろそろ目新しいことが少なくなって来ているという印象を受ける。
そんなIT業界の中でも熱く活気付いている業界もある。それがセキュリティ関連業界だ。最近はWeb書き換え事件やウィルス騒動でますます注目され、特に、エンドユーザーでは個人情報の漏洩事件などもあわせて関心が高まっている。

そのような中、漠然と「セキュリティ」という言葉が一人歩きしているようだが、そもそも「セキュリティ」、或は所謂「セキュアな状態」と言うのはどういう状態を指すのだろうか?

情報セキュリティマネジメントの事実上の国際規格となっているBS7799によれば、

  1. 機密性
  2. 完全性
  3. 可用性

の3つが保たれることがセキュリティに課される条件として挙げられている。

ここで、おや?と思った人も多いのではないだろうか。
まず、そもそも機密を取り扱うべきセキュリティにおいて国際標準が何ゆえ成立するのかということが不思議ではなかろうか?公開されている国際規格のセキュリティ基準が出まわって、それが尊守されているのなら、その抜け穴を探すのも簡単のではないかと思う方もいるだろう。

上の3項目を個別に見ると、「1.機密性」がセキュリティに関係するのは当然、また情報の「2.完全性」はその機密性から見て当然(機密性が高ければそれにアクセスすることができず完全なままのはずだから)として、「3.可用性」というのは何なのだろうか、アクセスされてしまっては意味がないのではないのかと思う方もいるだろう。

この2つの疑問にこそ、日本における情報セキュリティへの大きな誤解が潜んでいる。それは、情報セキュリティは「情報にアクセスさせないこと、それのみ」という根源的な認識である。

しかし、国際的に論じられる情報セキュリティとは、往々にして「特定の人のみが特定の時に特定の情報にのみ確実にアクセス出来る」ということであり、その派生として「特定の人以外を『情報にアクセスさせないこと』」ということがあるのである。それゆえ、セキュリティはバランス良く論じなければならない非常に面倒臭いものであり、可用性、完全性と言うのは、セキュリティを構成する上で機密性とともに独立して重要なものなのである。

そうした「可用性」の意味を考えると、セキュリティに、公開された国際標準があることも不自然ではないだろう。鍵そのもの(実際のセキュリティ運用)の公開は非常に問題があるが、鍵のメカニズム(セキュリティのマネジメント手法など)を公開したところで、直接的に守るべき情報の機密性に影響を与えるわけではないのである。もちろん他方で、鍵のメカニズムそのものから開発していては時間もお金もかかってしまい、とても現実的ではないという理由もある。
だから、セキュリティのマネジメント手法は「論理的に『特定の人のみが特定の時に特定の情報にのみ確実にアクセス出来る』ことを保証する」ものであり、それに基づいて実際のマネジメントをどうするかによって、そのセキュリティの強度などが決まってくるといえる。

----- EXTENDED BODY:

セキュリティパッチとその対処

2003年9月15日 12:00

情報セキュリティに関連する製品であれば、常にパッチを出して新たな脅威に備えるのは常識だ。で、そのパッチを見つけたら即、対応するべきであるかどうかは意見の分かれるところでもある。
最近では、パッチを当たっていないことをヒステリックに非難する風潮があるので、あえて逆説的なことを述べたい。
個人向け商品であれば、メーカーから出ているパッチに関しては何の疑いも持たないで、インストールしてもそんなに差し支えはない。
しかし、何らかのサービスの提供において、利用されているソフトウェア、たとえば、OSやWebサーバーといったものについては、セキュリティの観点から見ても、その限りではない。
当然、パッチの提供元が信頼できるかどうかという問題を抜きにしても、急いでパッチをあてる必要性が必ずしもあるわけではない。

実際に情報セキュリティにおいて重要なのは、セキュリティの3要素から考えることである。(3要素については、CANフォーラムの拙著コラムを参考にされたい)

具体的には、「機密性」「完全性」「可用性」である。

「機密性」の観点からみて、パッチはすばやくあてる必要がある。
しかしながら、そのパッチをあてることで、それに依存しているサービスが問題なく動きつづけるか否かも重要である。すなわち「可用性」の問題である。
では、どうすればいいのかといえば、そのパッチで埋まるセキュリティホールがどのようなもので、どの「情報」に対しての「脅威」となるかを見極めることである。
そして、脅威に晒される情報のセキュリティ3要素の要求の大小から見て、可用性を取るのか機密性を取るのかをしっかりチョイスすることが重要である。

それに応じて、そのパッチをすぐあてるべきなのか、十分な検証をした後にあてるべきなのかを決定する必要があるのである。即パッチをあてるというのは、可用性を失うリスクに目をつぶるということでもある。
OSやWebサーバーにおいて「パッチが当たっていないサーバー」=「絶対悪」ではないということをしっかり理解して、サーバー担当者はサーバーを運用する必要があろう。
当然、だからといって、パッチなどの情報収集を怠っていいというわけではない。十分な情報セキュリティの情報の中から本当に必要なものを取捨選択することが、重要なのである。

公開鍵による暗号化とその本質

2003年8月15日 12:00

まぁ、最近はセキュリティ意識の高まりということで、サイトにSSLを導入するところが増えてきているが、大抵、導入する理由にせよ、SSLサイトを使うユーザーの認識というのは以下のようなものだろう。

SSL=暗号化=データが盗まれても読めないのでOK

というものである。
しかし、公開鍵と言われる仕掛けのなかで1つ忘れられている重要な点がある。それは、
「発信元を相互に保証出来ること」
である。単純な暗号化では、発信元は特定し難いのである。
要するにいい加減な発信元であっても、暗号化していれば安全ということはなく、暗号化する時の公開鍵が保証されていたり、そのサイトの身元が保証されることにある。

秘密鍵で暗号化したものは対となる公開鍵でしか複合化できない
公開鍵で暗号化したものは対となる秘密鍵でしか複合化できない

という2つの性質こそが重要なのである。
そして、公開鍵は身元保証されていることが重要なのである。

元文A→暗号文B(秘密鍵)
暗号文B→元文A(公開鍵)

元文C→暗号文D(公開鍵)
暗号文D→元文C(秘密鍵)

ある意味で、公開鍵で複合されてしまうという点で行くとスニフィング(覗き見)の恐れという点では、0ではないことは確かだ。SSLはもう少し複雑な手法で、よりスニフィングできなくしているが、ここでは話が複雑になるので、割愛する。本質として、お互いが、正しい相手としか「やり取り」出来なくなっていることが重要である。

たとえば、サイト(秘密鍵P)、ユーザー(公開鍵P)の間のやり取りとしよう。
サイトは「元文A→暗号文B(秘密鍵P)」が可能で、暗号文Bをユーザーに送る。そして、ユーザーは公開鍵で「暗号文B→元文A(公開鍵P)」となり、読むことが可能である。裏を返せば、サイトからの送信文自体は公開鍵をもっていればだれでも読めるので、スニフィングは難しくはないといえる。

ユーザーは「元文C→暗号文D(公開鍵P)」が可能で、暗号文Dをサイトに送るとする。 そしてサイトは「暗号文D→元文C(秘密鍵P)」で、秘密鍵Pを持つサイトのみが、もとの文章を読むことができる。
ここで、違うサイトが成りすましたとしても、秘密鍵Pは1つしかないので、違う秘密鍵であるQでは、元文を復号することは出来ないのである。

基本的に、公開鍵Pがやり取りしたいサイトのものであるということを何らかの形で保証さえできれば、その間の通信はスニフィングがされていても特定の相手との交信であると保証出来るのである。

このように、「暗号化して読めなくする」ということ以上に「通信相手を保証する」ということこそ、公開鍵の重要な側面の1つなのである。

本当に危ないのは誰?

2003年7月15日 12:00

さて、前回のテーゼを今回も借用して書いて行こう。
「ネットに繋ぐと、ハッカーやらなんやらに接続されて、 情報が取られたり、ウィルスを流されたりするから 情報システムはどこにも接続しないか、絶対安全な セキュリティ技術ができるまで情報公開は見合わせる」

これに潜む誤解はまだある。「ハッカーやらなんやら」というのも 大きな誤解である。悪意のある外部ユーザーの脅威ばかりが考えられ がちであるが、実際は情報システムや情報漏洩などの事件の大半は 内部ユーザーの犯行である。更に言えば、悪意のない内部ユーザーの 「うっかりミス」というのも非常に多い。

そういう意味では、外部環境に情報システムを繋いでも繋がなくても 危険性はほとんど変わらないのである。
重要な情報にせよ重要ではない情報にせよ、それを損なう可能性をいかに 減らすかが重要と考えるなら、社内のモラル向上や、うっかりミスが出難い ルール作りこそが大切といえる。

絶対安全な「セキュリティ技術」というのは、ある面では絶対にない。
絶対に開かない鍵は存在しないし、それには意味がないのである。
他方開く可能性があるということは、それは安全ではない。
いくら大切だからといって、そのものを金庫に入れて溶接して二度と 開かなくするような愚行は普通はしないだろう。
むしろ大切なのは、鍵の保管ルールをきちんとしたりとか、鍵を持つ人の モラルなのである。

そういう観点からみても、永久に「絶対安全」なセキュリティ技術は 生まれないし、「ハッカー」や「内部犯」などの脅威もなくなることは まずないのである。そしてそれに対処出来るのは、人間だけである。

アイリンクへのお問い合わせ

お問い合わせメールフォームはこちら

2016年12月移転 北海道旭川市神楽1条7丁目4−8 お問合わせはメール・SNSアカウントで mail
  • twitter
  • facebook
  • google
  • noimage
  • noimage
  • noimage