情報セキュリティ観察記(初回 暗号化について)
セキュリティの最新動向を連載コラムとして紹介させていただきます。特に、セキュリティ関連のフォーラム標準化団体での業界動向などについて、解説を加えながらわかりやすくお伝えしたいと思います。
テクノロジーコラム セキュリティ
- 2014年09月01日公開
【ご挨拶】
今回より、セキュリティの最新動向を連載コラムとして紹介させていただきます。特に、セキュリティ関連のフォーラム標準化団体での業界動向などについて、数年前よりこの活動に参加している菅野(かんの)が解説を加えながらわかりやすくこの場でお伝えしたいと思います。
みなさまのお役にたてると幸いです。
情報セキュリティ観察記(初回 暗号化について)
突然ですが、みなさんは、情報セキュリティと聞いてどのような印象をお持ちでしょうか?
おそらく、次のような印象を持っている人が多いかもしれません。
- ■必要なのは理解しているけど、
- 何をしていいのかわからないんだよね……
- ■セキュリティ対策に費用をかけたくない……
- ■最新パッチが公開される度にパッチ適用して、
- システムを最新化すればいいんでしょ?
- ■取りあえず暗号化しておけばいいんでしょ?
多発する事件・事故
実は、2013年から今年にかけて、情報セキュリティに関する事件や事故が多発し、個人や一事業者だけで対応することが困難なものになってきています。自分たちが安全にシステムを運用していても、安全性を担保できなくなる事例も増えています。
例えば、すでに生活インフラとなっているインターネットでは、暗号通信を実現する技術である SSL/TLS (*1) が利用されていますが、その基本的なソフトウェアであるOpenSSLでHeartbleedという致命的なバグが発見されました。これは、システムを構成するソフトウェアを最新化していても影響を受ける脆弱性でした。このように情報セキュリティの地盤を揺るがすような事件や事故の事例が、いくらでも挙げられるのが現状です。
今回は、昨年世間を騒がせた大規模な盗聴行為を事例として、どのように世界が動いているのかをお話しします。
2013年6月に 米国家安全保障局(National Security Agency、NSA) の元職員であるエドワード スノーデン氏(Edward Snowden)が持ち出した機密文書によってPervasive Surveillance(大規模な盗聴行為)が明らかになりました。信頼できるはずの政府が盗聴行為を行っていたのでは、いったい誰を信頼すれば良いのでしょうか。
私たちを取り巻くこのような状況において、
- どのように情報セキュリティに対する対策をとればよいのか?
- どのように情報を正しく収集して適用すればよいのか?
という疑問がわいてくると思います。
標準化団体という道しるべ
この疑問に対する答えは、私たちが直面している「脅威を把握する」ことと、その脅威に効果のある対策に関する「情報を収集する」ことにつきます。では、ここであげた「脅威の把握」と「情報収集」を効率的に行うためには、どのようにしたら良いのか?
その1つの答えがフォーラム標準化団体を観察するということです。
フォーラム標準化団体として有名な IETF(Internet Engineering Task Force) は、インターネット技術の標準化を推進する団体です。この標準化団体では、機器の相互接続を実現することを目的としていますが、インターネットにかかわる問題などを取り扱っており、この団体が興味を持つということは、インターネットに関連する技術として大きな意味を持っています。
例えば、IETFでは先ほど問題として取り上げたPervasive Surveillance(大規模な盗聴行為)に関する対策技術にも力を入れています。具体的には、脅威を明確化することを目的とし、 RFC 7258“Pervasive Monitoring Is an Attack” (*2) というRFC(Request for Comments)を発行しました。このRFCを受けて暗号技術を活用したさまざまなプロトコルが提案されています。この活動は、2013年11月に開催されたIETF88thで行われたTechnical Plenary(技術的な全体会議)やperpass BoF(perpassという大規模な盗聴行為に興味を持った人が集まる自由討論の場)などで大きく取りあげ、多くのIETF参加者がどのようにしたらこの攻撃に対抗できるのかを真剣に議論することで技術的な方向性が決められていく重要なイベントになりました。
< Technical Plenaryの風景 >
ここで議論されたPervasive Monitoringに対する技術的なアプローチとして、「利用できる時には認証や暗号化を利用する」という概念である Opportunistic Security や暗号化鍵が漏えいした場合の影響範囲を限定するための技術である (Perfect)Forward Secrecy が検討されました。この動きは標準化団体だけで議論されているのではなく、実際にサービス提供者にも大きく影響を与えています。
例えば、 2013年11月にTwitterが利用するHTTPS通信でForward Secrecyに対応すると発表し、GoogleやFacebookというSNSのハイパージャイアントたちも利用しています。また、最近の事例としては Yahoo!とGoogleがエンドツーエンドによる暗号化を実現する仕組み を2015年までに導入することをアナウンスしています。この取り組みの根底に流れている考えは、IETFで2013年11月から継続して議論されていたことなのです。
本連載コラムについて
このように、情報セキュリティにおける対策の予測を行う上で、IETFなどのフォーラム標準化団体の動向が重要になってきています。しかし、重要であることはわかっても、その動向を追い続けることは多くの専門性を必要とされてしまい、なかなか大変です。
このコラムでは、追いかけることが難しいフォーラム標準化団体での動向について、IETF 72 から参加してセキュリティ領域の動向を見続けてきた菅野(かんの)が、暗号技術の観点から最近発生している脅威とその対策技術について考えたことや感じたことを発信していきます。みなさまのお役に立てる(かもしれない)情報を発信していきますので、どうぞよろしくお願いいたします。
このコラムを読んで、「日頃◯◯という問題を抱えているんだけど・・・何か解決のための糸口はない?」といった疑問や質問をお持ちの方は、お気軽に こちら までお問合せください。
【解 説】
- *1:SSL(Secure Sockets Layer)および TLS(Transport Layer Security)であり、主にクライアントとサーバ間の経路上を暗号化するための仕組み。
*2:IETFではPervasive SurveillanceについてPervasive Monitoringという用語で統一しています。
NTTソフトウェア株式会社