EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

Cold War(冷戦)からCode War(コード戦争)へ――発想を転換すべきセキュリティのツボ

  2015/08/10 06:00

もし血液型の情報が書き換えられたら?致命的な脅威となりうる「書き換え」

 具体的な技術実装も単純ではない。齋藤氏は「認証や暗号化だけでは足りません。多角的に防御していく必要があります」と指摘する。ポイントとして齋藤氏は「安全性(セキュリティ)、利便性、費用でどうバランスをとるかが大事です。どれかあるいは全てを100%完璧にするのは不可能です。バランスを考えていかにトレードオフしていくかがセキュリティ対策では大事です」と基本的な心構えを諭した。  

出所:ガートナー セキュリティ&リスク・マネジメントサミット 2015

 個人情報の流出に関して、齋藤氏は興味深い例を話した。例えばある人の血液型がB型だったとする。名前と血液型が組み合わされた情報が流出したとき、それ自体は致命的なことにはならない(もちろん流出が起きたことはよくないが)。しかし、その人物が病院で手術するとき、血液型の情報が書き換えられてしまったら大変なことが起こりうる。

 つまり情報の流出から何が起こりうるのか、そういうことに目を向けて考えることが重要である。また情報流出はそれだけでも脅威ではあるが、さらに致命的な脅威となりうる「書き換え」という事態も併せて念頭においておきたい。  

 自己防御で主要な手段となるのがパスワードだ。現実はパスワードが十分に管理されているとは言い切れない。「1人あたり平均25のオンラインアカウントを保有しているが、6.5種類のパスワードしか用いていない」という調査結果もあるという。つまり使い回しが日常的に行われているということだ。  

 どこかのシステムでIDとパスワードが流出したとしよう。そのアカウント自体は使用していなくて影響がなかったとしても、パスワードを別の重要なアカウントでも使い回していたら話は別だ。パスワードを使い回していたら、共有している複数のアカウントがいっせいに脅威にさらされてしまうということになる。  

 今はパスワードはもろくなりつつある。10年前は7文字のパスワードを破るのに19日間を要していたが、2013年には90秒にまで短縮しているそうだ。パスワードだけではもう防御しきれない。ただし齋藤氏は「パスワードは生体認証や二段階認証など、ほかの手段を組み合わせると有効です」と話す。これからはパスワードとほかの手段の組み合わせて防御していくことになっていきそうだ。


著者プロフィール

  • Security Online編集部(セキュリティ オンライン ヘンシュウブ)

    Security Online編集部 翔泳社 EnterpriseZine(EZ)が提供する企業セキュリティ専門メディア「Security Online」編集部です。デジタル時代を支える企業の情報セキュリティとプライバシー分野の最新動向を取材しています。皆様からのセキュリティ情報をお待ちしております。

  • 加山 恵美(カヤマ エミ)

    EnterpriseZine/Security Online キュレーター フリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。 Webサイト:http://emiekayama.net

バックナンバー

連載:Security Online Press

もっと読む

All contents copyright © 2007-2021 Shoeisha Co., Ltd. All rights reserved. ver.1.5