セキュリティってなんだろう?

企業のセキュリティシステム構築に参加していた元SEが、セキュリティについて考えてみた。

ハトと人間が話せたら。

コンピュータはなんだかすごい!と、多くの人が思っています。確かにいろいろすごいのですが、エンジニアが「すごい!」と考えていることと、利用者が「すごい!」と思っていることの聞にはけっこうな隔たりがあります。こ少しだけ、コンピュータの構造のお…

不具合について。

業界用語というのはどんな業界のものでも分かりにくいものです。航空業界の友達がよく「機材」というのですが、なんとなく小さいツールを予想させる語感のわりに飛行機のことを指していたりして、残尿感にも似た違和感を覚えます。翻ってI T業界も分かりにく…

かくして破られるしくみは使い続けられる。

暗証番号やパスワードのもとになっている考え方を見てきましたが、いかがでしたでしょうか。利用者はどうしても「銀行=お金を預かっているところ=安全にはうるさいはず=そこが使っているしくみ=暗証番号は安全」と、とっても好意的な等式を作りがちなの…

辞書に載ってる言葉はダメだよ攻撃。

「たくさんの種類の文字を使い」「できるだけ長く」「使う期間は短く」「変更するときは、前と似ても似つかないものに」……よいパスワードへの道のりはなかなか厳しいですね。最初のうちは「仕事の気分が乗らないときに暇つぶしできていいかな」くらいに思っ…

長いだけが複雑なパスワードではない。

いくら安全になるからと言っても、無限にパスワードを長くするわけにはいきません。パスワードには当然、「正規のユーザ」がいるわけで、「このパスワードは314 億1592万6535 ケタあるから絶対に破られない!」って力んでも、そんなもの誰も使いません。この…

複雑なパスワードで逃げ切りを図る。

同じパスワードを使い続けるのは、まずそうでしたね。では、ご自分のWindowsの他の設定項目はどうでしょうか。「パスワードの長さ」という項目があります。ここでは、「14文字以上」と異様に厳しく設定されていて、このパソコンを使う人に同情しますが、最近…

破られるのが前提!? パスワードの有効期限。

さて、すったもんだのあげくに決まったパスワード、長く使いたいですよね。ところが最近のコンピュータは「長くパスワードを使おう」なんて悠長なことは許してくれません。以前は物持ちの悪い人はおじいちゃんに怒られたりしましたが、セキュリティの世界で…

パスワードの初期状態は弱い。

ここで考えたいのは、「パスワードは西洋風と東洋風、どちらの発想に近いだろう」といこうことです。パスワードってなくらいですから、横文字で西洋風ですか? でも「合い言葉」ともいいますよね。パスワードは「運用しながら強くしていく(強さを保つ)」も…

障子の美学。

ちょっと話は変わるのですが、建物の設計思想って西洋と東洋でだいぶ違うそうです(専門でないので、詳しく知りませんが)。基本的に西洋の建物は、完成した時点での価値がピークで、それ以降はゆっくり価値が逓減していきます。まあ、一般的な減価償却のモ…

2 進数や1 6進数って?

本筋とは離れますが、ところどころに出てくるので少しだけお話ししておきます。数を表す際に数字をいくつ使いますか? それは当然10個でしょうか? 日常生活の中ではそれが当たり前ですが、別に10個の数字を使わなくてはならないと、数学的に決まっているわ…

それでも暗証番号を使う管理者の倣慢。

こうした事実や仮説から言えることは、パスワードや暗証番号が使われている背景には以下のシナリオがあるということです。認証のしくみは必要→それはいろいろある→作る側にとって都合のよいパスワード方式で作っちゃえ!→パスワード方式には欠点がたくさんあ…

6ケタの国もある。

そんなに簡単に決まっていいのか?と疑ってしまうところですが、物事が決まるときって、結構「えいや!」が幅をきかせますよね。ちょっと昔の話になりますが、MS-DOS(Window sの前身にあたるOSです)でプログラムを開発するSEが「全体のサイズをなんとか640キ…

仮説と検証。

イギリスやアメリカはどうやって4ケタって決めたの?という問いにはいくつかの仮説が挙げられています(正解は開発したエンジニアの頭の中にあるんでしょうけど)。推理して楽しんでみましょう。1、当時のキャッシュカードは容量が小さく、4ケタしか入れられ…

4ケタに決まった経緯

ちょっと検証してみましょう。キャッシュディスペンサー (CD=現金自動支払機)の発祥は昭和必年にまで遡ります。イギリスのバークレイズバンクが6店舗で導入したのを皮切りに、各銀行で実用化の機運が高まります。当時はちょうど週休2日制の導入が真剣に考…

暗証番号はなぜ……

話を元に戻しましょう。暗証番号というしくみ自体が、かなりサービス提供者側の都合で作られているので、その先に位置する「じゃあ、なんで暗証番号は4ケタなの?」という疑問についても、あまり合理的な理由は期待できそうにないなあ、と思いませんか? 実…

なぜかシンプルにならないシステム。

さて、システムは単純な方がいいというのはお分かりいただけたでしょうか。今までの講義を集約すると、3つの利点があります。1、作りやすい。2、直しやすい。3、設計した人が辞めたり死んだりしても、他の人が後を継げる。「言われなくても分かってるわい」…

上司に「キスしよう」と言われたら逃げますか?

「作り方」の話題が出たところで、システム設計の基本について、少しだけ触れておきましょう。暗証番号のしくみに限らず、システム設計の基本的な考え方は、「とにかくシンプルに」です。日本人の多くは、「エレガントで精績なシステムが流れるように」動い…

パスワードは管理者にとって都合がいい。

パスワードが認証方法として完壁か?というと、全然そんなことはありません。パスワードによる認証は、「知っている=本人、知らない=他人」という単純な公式に則って行われます。この公式が不変の事実ならよいのですが、パスワードというのは「知識」です…

なぜ暗証番号が選ばれたか?

なぜ暗証番号が選ばれたか?「認証」ができればなんでもいいはずなのに、なぜこぞってすべての銀行が暗証番号を使っているのでしょう? その前にパスワードと暗証番号の違いを明らかにしてしまいましょう。古来から使われている認証のしくみ、「符牒」や「合…

暗証番号は何がしたいのか?

暗証番号は何がしたいのか?まず、サービスを提供する側(銀行)は暗証番号で何がしたいのでしょうか? 利用者からすれば、あんなものはないに越したことはありません。めんどくさいですから。「岡嶋です。お金をおろさせてください」「ああ、岡嶋さんですね…

暗証番号の起源は?

暗証番号の起源は?暗証番号という言葉には特別な響きがあります。現在、日常生活のいろいろな場面に普及していますが、そもそもの普及のきっかけが銀行のATMシステムで用いられたからということもあり、なんだか暗証=お金にリンクしている、というイメージ…

セキュリティ?

まえがき。「警察官を装い暗証番号聞き出す 窃盗容疑で追送検 府警=京都」「盗んだカードの暗証番号聞き出す 警官や郵便局員かたり=埼玉」「『盗難カードの使用止めます』関係者装い暗証番号聞き、不正使用大阪で相次ぐ」Yahoo!ニュースで「暗証番号」を…