越前藩国 Wiki

セキュアデータリンク

最終更新:

author

- view
だれでも歓迎! 編集

セキュアデータリンク



「なになに、セキュリティの基本方針と組織編成、資産の管理、人的・物理的・環境的セキュリティ……?」
「通信や運用の管理とアクセス制御、システムの開発だけじゃなくて保守までかっちり決めんとならんのか!」
「のわー! プリントアウトしたら紙が! 紙が!」
「バカヤロー! 電話帳レベルのブツを不用意に印刷すんじゃねぇ!」
「わー…… 実家に送って漬け物でもつけて貰おうかしら。これで」
「気持ちは分かりますけど、やめてくださいね」
「……ワシの運用定義書は108章まであるぞ」

―――システム開発者の憂鬱。必要なのは分かるんですけどね




物語的背景

ターン13終盤。
セプテントリオンの魔手によって防空回廊がハッキングを受け、陥落。駆けつけた摂政以下越前情報部が待ち伏せに遭い壊滅。
その挙げ句、文殊の開発者でもあった黒埼のアカウントを奪取されて文殊の情報を奪われた事件は、越前藩国の民の心に大きな影を投げかけた。

それは、『ここまで脆いものだったのか』という虚脱感にも似た感情であった。



いままでこの国では、ニューワールドにおける最先端の情報技術を持つという自負があった。
シーズン1にて情報戦の芽が生え、それが伸びていくと同時に情報戦を求められる戦場は幾多。その全てで、とは行かなかったが、多くの場合に
皆の期待と要求に応え、敵のシステムを乗っ取り、あるいは破壊し、中のデータを奪取・改ざんして沢山の者を助けてきた。

しかし、その矛先がいざ自分たちに向けられたとき、それを防ぎきることの難しさを改めて識ることとなったのが先の事件である。
セキュリティとは『盾』ではなく『城壁』であり、即ち弱い所から破られていく。そしてそれはただの一度きりで良い。

この現実を思い知らされた多くの技術者は、二度とこのような攻撃に屈しない事を願い、そして考えた。

摂政を失い、苦境に立たされたセントラル越前の元にも、多くの要望や嘆願が寄せられた。その中には「こうすべきである」という投書も含まれていた。
セントラル越前はこれらの意見に目を通し、やはり考えた。

これらの書を投じた者達は一握りであり、その他の多くの国民達は、摂政の死に同様し、絶望している。
自分自身もまた、その魂――情報技術者の経験と知識から、一度汚染されたシステムの復活が難しい事も十分に分かっている。
特に、ニューワールドの文殊は発表直後から管理データの幅を広げ続け、今や無くてはならないものとなりつつある。
そんなシステムが汚染されたのであれば……

「……」

その胸に現れるのもまた、絶望の影である。
そんなものが、使い物になるのか――




「いいや」

思わず口から漏れ出たのは、その言葉である。

「まだだ」

それは夜闇の中に燦然と光を放つ一抹の明星である。

「いいやまだだ。これで終わりにはしない。他の誰でもないこの私に、この方法で挑んできたことを……」

心の中の星空からあふれ出た光が瞳に灯る。
力なく垂れ下がっていた手に力をぎゅっと握り、拳を胸に当てると、セントラル越前は宣言した。

「後悔させてやろう。我が魂にかけて!」


セキュアデータリンクとは


セキュアデータリンクとは、越前藩国藩王・セントラル越前の肝いりで進められたひとつのプロジェクトの成果物の名であり、その名の通り
「セキュア=安全な」「データ=情報の」「リンク=やりとり」を保障するための規約と、その技術体系を指し示す技術である。






L:セキュアデータリンク = {
 t:名称 = セキュアデータリンク(技術)
 t:要点 = 安全,複雑,手順
 t:周辺環境 = ネット上


セキュリティの三大要素

情報セキュリティの強化を行うに当たり、まず最初に行われる必要があるのが「セキュリティの定義」であった。
一般的に、セキュリティとは次のような三大要素を持つと言われている。


機密性

「機密性」とは、「不適切な者に対して情報が公開されてはいけない」ということを示している。
この機密性が破られた場合、本来なら知られてはいけない大切な情報が盗み見されてしまうといった問題が発生してしまう。

完全性

「完全性」とは、「情報が完全である」ということである。
これは、情報が発信されてから受信される間での間、誰にも改竄されないということを意味している。
情報の完全性が失われた場合、たとえば恋人に送ったはずの秘密の恋文をストーカーに改竄されて、別れ話を切り出す手紙にされてしまうこともあり得るのだ。

可用性

「可用性」とは、「権限を持った人が、必要なときに必ず情報を使うことができる」ということを意味している。
金庫の鍵を落としてしまったり、大切なデータの入ったパソコンが壊れてしまった時などは、この「可用性」が失われた状態であると言える。


三大要素が失われる原因

セキュアデータリンクでは上記の「機密性」「完全性」「可用性」というセキュリティ三大要素のうち、最低一つ以上の要素が低下、または喪失された時を「セキュリティが破られた」と定義している。
そしてこの要素を喪失ないし低下せしむるーいわゆるセキュリティリスクの発生原因として、その性質から2つに分類して定義している。


機械系要因

機械系とは、接続端末などの機械や道具の不具合を原因として発生するセキュリティリスクと定義している。
たとえばパソコンが壊れる、通信ケーブルが引きちぎれるというような故障のことを言う。
少し変わったところでは、アプリケーションなどに内在しているバグや不具合もこの機械系に分類されることもある。

人間系要因

システムを運用、あるいは利用する人間が原因となってセキュリティリスクが発生するような場合を人間的原因と定めている。
セキュアデータリンクでは単純なシステム構成ーパソコンやそこに導入されたアプリケーションーのみならず、それを使用する人間も「システム」の一つとして定義している。
一度決められればその通りにしか動かない機械と違い、人によって、また時と場合によって振る舞いの変わる人間が最大のセキュリティリスクとなることは、専門家の中ではほぼ常識と言っても過言ではない。
このセキュアデータリンクにおいても、もっともページを割かれているのがこの人間系に起因するセキュリティリスクの発生を防ぐ条項である。

セキュリティリスクとその対応

セキュアデータリンクでは、これら三大要素と2つの原因の組み合わせによって、発生しうる「セキュリティが失われる事例」とその対策・対処法を定義している。


「機械的原因」との組み合わせ

機械的原因によってセキュリティの三大要素が損なわれるケースというのは、まず100%防ぐことは不可能である。よって、その対応としては万が一故障したとしてもセキュリティが低下しないように備えることがまず第一項として挙げられている。

たとえば待機系の確保や二台構成によってシステムを冗長化させ、仮に一台が故障したとしてもすぐにもう一台の方に切り替えることで機械によるトラブルの影響を極小化することである。

また、物理的要因のみならず論理的要因によって機械系のセキュリティリスクが発生することも忘れてはならない。
壊れない機械が無いのと同じように、バグが無いアプリケーションも存在しないのである。

アプリケーションのバグや潜在的なセキュリティホールの発見及び対処については、定期・不定期のシステムチェックやログの確認による不自然な現象の調査、ユーザーからの問い合わせに端を発する調査などによって発見、及び修正パッチの公開を行うことまでが機械系の論理面でのリスク軽減とされている。が、公開されたパッチの適用までは機械系では触れられておらず、後述する人間系のセキュリティリスクとなるのだ。


「人間系」との組み合わせ

セキュアデータリンクの一連の文章の中で、人間系に触れられた条項は極めて多い。
これは、事前に決められたことしか行わず、それ故にある程度対処が絞られる機械系の原因に対し、人間はいつ何をしでかすか全く見当もつかないために様々な決まり事を作ることでこれに対応をしようとしているからである。

存在する機械の数よりもそれを使う人間の方が圧倒的に多いはずであり、確率の法則によって人間が絡むセキュリティリスクの方が多かろうという考え方もあるが、基本的には「使う人間こそが脆弱性となりうる」という考えの方が技術者の中では一般的である。


情報への物理的アクセス制限

人がセキュリティリスクとなるとき、その人は必ず情報にアクセスしていなければならない。
逆に言えば、情報にアクセスできなければ人がセキュリティリスクになることはほぼ無いと言っていい。
この考えから、物理的に情報へのアクセスを制限しようとする方法はいくつかある。

物理リソースの集約
サーバなどの情報の物理的な在処となる機械を一カ所に集め、物理的に接触が可能な場所を絞る
古来よりこのような集約が行われた場所はデータセンターと呼ばれ、機械の高性能・低価格化、仮想化技術の発達によって「やがて無くなる運命にあるのではないか」とまで言う者も現れたが、近年ではセキュリティという観点から再評価が進んでいる。

人の手による制限
治安組織によるデータセンター周辺の定期的な巡回、警備員の配置による入退場の確認と制限は、もっとも原始的ではあるがそれ故にごまかしの難しい物理セキュリティとして機能する。
無論、人である以上多少のブレもあるだろうが、後述する運用手順の厳格化によって信頼を高める努力が行われている。

機械の監視による制限
監視カメラなど、人間の目による監視を補助するために機械による監視を取り入れる事も、物理セキュリティを高める上では重要である。
人の記憶は曖昧であり、失われたり改変されたりすることはざらである。
機械のみに頼ることはかえってセキュリティリスクを高めることにつながるため、適度に取り入れることで入場者の記録や万が一の際には有力な情報として用いる事ができるのだ。
これは、セキュリティを物理的に破ろうとする者にとって深刻な驚異となりうる。

セキュリティドア
情報資源への物理的接触を防ぐ、もっとも単純な仕組みが壁と扉である。
サーバ室につながる経路を限定し、かつそれぞれ異なる鍵を持つ複数のドアを配置する事で、真に物理的な情報リソースへのアクセスを認められた者のみに接触を認める事ができる。
この「それぞれ異なる鍵」とは、文字通り鍵穴に差し込んで回す鍵に始まり、接触式・非接触式のカードキー、パスフレーズと声紋による認証や、指紋・手のひら静脈・瞳孔・眼底血管を照合する生体認証など、今日では多様性に富んだ技術が実用化されている。

そして「本来認められた者のみに通行を認める」という機能の実現のために、ドアそのものの形状にも工夫が加えられている。
二重扉による共連れ防止がその最たるものだ。
二重扉とは、一つ目のドアを開けると小さなスペースがあり、その先にもう一つのドアがあるという仕掛けである。中のスペースで待機し、最初のドアが完全に閉じられると二つ目のドアが開錠されるというシステムを組み込むことで鍵をあけた人間とは別の人間(特に本来入室が認められていない者)が一緒に入ってくることを防止するほか、待機スペースなどに身長センサーや体重センサーをしこむことでおんぶ・肩車による複数人の侵入防止を行おうというものもある。
(無論、一人なのにこの制限に引っかかってしまうような体格のいい人のために、各アカウントごとに制限を緩和できる仕組みが組み込まれていることもある)
待機スペースを極小化し、物理的に一人しか入れないような制限を行うのも方法の一つである。


このように、ドア一つとってみても物理セキュリティー強化のための方策は複数あり、いくつもの方策、何枚ものドアを組み合わせることで有効なセキュリティを得ることが可能になる。



死体繰り侵入対策
特殊な物理セキュリティの確保方法として、死体繰り侵入対策というものがある。
これは、越前藩国において摂政の黒埼紘が殺害され、その死体が操られて文殊が陥落するという事件の反省から考案されたものであり、機械的な面ではサーモグラフィなどによる生体反応チェック、聖水を使用したパッチテスト、ホーリーシンボルの設置などで邪悪なる存在の浸透を未然に防ごうとしている。


情報への論理的アクセス制限

論理面、つまりネットワーク上でのアクセス制限を実現する方法といえばもっとも有名なものが2つ3つ上がるであろうが、その他にも有効な技術が複数考案されている。


パスワードロック
恐らくもっとも有名な技術である。
事前に定義されたユーザーと、それに紐付けられたキーワードを認証することで、システムにアクセスしようとする者に対して適切な権限を付与、あるいは権限を持たない者を排除する仕組みである。
ただし、パスワードロックによるセキュリティは使用者の意識が低い場合には極めて危険なセキュリティホールとなる可能性をはらんでおり、定期的な変更や不規則な文字の羅列の指定、メモに書いてデスクに貼っておかない等の対策とセットで用いることが推奨されている。



権限管理
「権限」とは、その文字に従うのであれば「情報へアクセスできる権利の限界」と言い示すことができる。
権利の「限界」との言葉通り、権限はある人がアクセスできる情報の限界ーすなわち触れることのできる情報とそうでないものを分け隔てるために設定される。
たとえば、あるユーザーのアクセス権限が何者かに奪われたとしても、そのユーザーに認められた権限が少なければ被害を最小限に押さえることができる。
また、仮に情報へアクセスできる人物が悪意を持つなどして重要な機密を奪おうとしたとしても、元々アクセスできる情報が限られていえば情報漏洩のリスクをあらかじめ下げておくことも可能だ。
さらに、この「アクセスできる情報を制限する」ことで、オペレーションミスなどによるデータ破壊の発生を未然に防ぐという副次的な効果も期待できる。
開発用環境でデリートの処理を実行させたつもりが、実は本番環境だったという悪夢は、すべてのエンジニアに共通して存在する稀に良くある悪夢である。
本番環境に触らせたくないような一般的な開発ユーザーに対しては、そもそもアクセスできないように制限をかけておくことも肝要である。

権限管理の問題点
比較的基本的な部分に存在するアクセス制限は有効に使うことで極めて大きな効果を得ることができる。
しかし逆に、一度「甘い」管理を行って権限の流出を起こしてしまうと、時に取り返しのつかないダメージを受ける可能性があることを忘れてはならない。
前述したパスワードによるユーザー認証であれば人間がリスクとなるが、システム面においても管理権限が不当に奪われる可能性のある不具合やバグは枚挙に暇がない。
重要なシステムであればあるほど、管理権限に関するアプリケーションやプログラムの不具合情報に敏感になるべきである。


修正パッチの適用による論理セキュリティの維持
壊れない機械が無いように、バグの無いソフトもまた存在しない。
そしてこのバグは多くの場合クラッカーの格好の標的とされることが多いが、人の努力によってこれをできるだけ減らすことは可能である。
様々な理由によって(多くはユーザーからの指摘から)バグの存在が明らかになれば、良心的な開発者は直ちにこれを修正するパッチを作成して悪用されるのを防ごうとするだろう。
しかし、どんなに開発者が頑張ったとしても、パッチを当てようとしないシステム管理者が相手では全く報われない。
世界的に見ても、重篤な不具合に対する修正パッチが存在するにも関わらず適用されていないシステムは多く、そもそもパッチが作成されていないプログラムはもっと多い。
そして悪意あるクラッカーはわざわざ難しい進入経路よりも、触れる機会が多く、比較的容易に突く事のできるプログラムのバグを悪用するのだ。
重要なシステムを運用するのであればセキュリティパッチを適用することはもちろん、


暗号化
人類の歴史において、恐らくもっとも早く開発された論理セキュリティが暗号である。
元は「文章を構成する一文字一文字を特定の法則に従って別の文字に変更し、一見して意味不明な文字列とすることで不特定多数に文章の内容を知られないようにする」という技術であったが、高い計算能力を持つコンピュータが日常的に存在する今日では「コンピュータによる因数分解の計算では単純な虱潰ししか有効な方法がない」ことを利用して文章を暗号化することが一般的である。
余談として、この暗号化・復号化の省力化指向や俗に言う暗号破りがコンピュータの発達に大きく貢献する要素となるが、「そのネタだけで一冊本が書けてしまう」ため、ここではあえて割愛する。

暗号化・復号化の方法として現在有名なものを大別すると、「秘密鍵」と「公開鍵」の二つに分けることができる。


秘密鍵と公開鍵
→長くなるので一旦飛ばし