セキュリティってなんだろう?

企業のセキュリティシステム構築に参加していた元SEが、セキュリティについて考えてみた。

セキュリティ?

まえがき。



「警察官を装い暗証番号聞き出す 窃盗容疑で追送検 府警=京都」「盗んだカードの暗証番号聞き出す 警官や郵便局員かたり=埼玉」「『盗難カードの使用止めます』関係者装い暗証番号聞き、不正使用大阪で相次ぐ」Yahoo!ニュースで「暗証番号」をキーワードに検索をかけた結果です。

こんなのばかりが何十件も出てきます。

「日本もあぶなっかしくなったよなあ」と思うと同時に、「大事な財産を引き出すための暗証番号が、こんなにぽこぽこ被害にあっていいの?」という疑問が湧いてきます。

世の中が進歩して個人の自由は拡大されましたが、「拡大された自由」には必ず「自己責任」がおまけでついてきます。

それはそれでいいのですが、たぶん一番大事で身近な「財産を守る」という自己責任の部分が、暗証番号といういかにも脆弱そうなしくみに依存していていいのでしょうか。

いや、そもそも暗証番号は自己責任システムである、という意識を持って使っている方の方が少ないのではないでしょうか。

「あれは銀行が勝手に押しつけたしくみなんだから、生年月日でも入れとけばあとはなんとかしてくれるんでしょ?」という発想です。

ですが、カード詐欺などが多発してくると「暗証番号に生年月日を入れてた? そんな過失があったら引き出されちゃった預金は補償できませんよ。

自己責任ですよ、自・己・責・任」と言われるようになってしまいました。

これでは利用者は浮かばれないですよね。

「急に手のひら返して、なんだよ!」って思います。

ただ、現在のように高度に利便性が向上した社会では、「自分の身は自分で守る」技術を持っていることも大切です。

そこでセキュリティ講座などが行われているのですが、あまりふるっていません。

たぶん原因は2つです。

1、「セキュリティ」という得体の知れないものが、身近に感じられない。

2、従来のセキュリティのテキストが面白くない。

セキュリティのテキストはかなりスタイルが確立されていて、「こう書けば網羅できる」という手法があるのですが、初めての人が通読するにはちょっと退屈です。

また、同じコンピュータ関連の話題にしても、ネットワークやソフトウェアの本に比べると具体性に欠ける記述が多くなります。

そこで、本ブログで記事を書くにあたって自分に3つの制約を課しました。

1、具体例から入る。

2、生活の役に立つ知識を扱う。

3、専門用語はやめる。

正直なところ、3はちょっと怪しいのですが1、2はなんとか守れるのではないかなぁと思います。

私はとある企業でSEをしながら企業内外のセキュリティ関連の問題に色々と関わってきました。

今はその職から離れましたが、サラリーマン時代の自分の経験を踏まえて執筆しています。

できるだけ企業システムの実態に近いところを描いていこうと思っていますが、話の流れは次のようになっています。

第1章 おおざっぱな「セキュリティの現状」と暗証番号を管理する上での問題第2章 暗証番号を運用する上での問題第3章 コンピュータそのものが内包している弱点第4章 安全と便利のジレンマ第5章 安全と管理のジレンマ第6章 法律でコンピュータの安全が守れない理由第7章 さしあたり、利用者としての自分は何を覚えればいいのか?補足すると、第1、2章は利用者側からの不満、第3章はそれに対するコンピュータ側からの言い訳、第4、5章は管理者側からの言い訳、第6章は法律側の言い訳です。

第7章では、「そんなに他があてにならないのなら」ということで、自分で自分の身を守る方法を考えてみました。

なお、いきなり「制約その3」を破ってしまって申し訳ないのですが、次の3つの用語を理解してから本文に入っていただけると、スムーズに読み進められると思います。

これらの用語はどの章にもぼこぼこ出てくるので、ここで理解してしまえば順序通りにお読みにならない方も安心です! 他の用語については本文中に説明を埋め込んであります。

【クラッカ】高度なIT関連技術を持ち、それを悪用して自分の金銭欲や功名心を満たす人のこと。

ハッカー」と混同されがちなので取り上げた。

ハッカー」も同様の意味で使われる場合があるが、もともとは「高度なIT関連技術を持ち」というプラスの側面を表現する用語だったので、厳密にマイナスの意味のみを表したい場合は「クラッカ」を用いることが多い。

特にセキュリティ系の書籍ではそう。

【インシデント】英和辞典などを読むと、「出来事」などと超簡潔に訳されていることが多い言葉。

軽いイメージを抱いてしまうが、セキュリティ分野では「安全を脅かす事故・事件」のこと。

クラッカに攻撃された場合もインシデントという。

セキュリティンシデントと表記されることもある。

仮にあなたがキャッシュカードを盗まれて預金を引き出されたとしたら、それも「インシデント」である。

ソーシャルエンジニアリング】クラッカが使う攻撃方法。

「クラッカによる攻撃」などと聞くと、先端技術を駆使したサイバーな映画っぽい手法を想像しがちだが、実際の攻撃方法は「ゴミ箱をあさって暗証番号が書かれた紙を回収」したり「ATM(現金自動預け払い機)を操作している人の一肩口から覗き込んで暗証番号をゲット」したりと、せこいものも多い。

こうした「技術によらず、人間の心理的錯覚や物理的な方法を使う」やり方をソーシャルエンジニアリングと呼ぶ。

誰でも知ってるソーシャルエンジニアリング技法に「おれおれ詐欺振り込め詐欺)」がある。

第1章 暗証番号はなぜ4桁なのか?――見え隠れする管理者の倣慢