情報セキュリティー

第1回でシステムの5つの弱点として、「資産の特定」「リスクの分析」「リスクの評価・管理策の適用」「管理策の有効性の評価」「リスクの変化への対 応」ができていない、という点をあげました。それぞれ資産によって、対応すべき対象を絞っていない弱点、リスクの分析においてさまざまな情報にまどわされる弱点、管理策の適用において、そもそも脆 弱（ぜいじゃく）性を生む土壌を発生させている基盤設計、設定の弱点について言及しました。最終回となる今回は、「後から作られた脆弱性」に対応できていない弱点について説明します。

これまで、OpenIDの背景や攻撃の種類や対処の仕組みについて簡単に見てきましたが、第4回では、サンプルコードを使って簡単なプロトタイプを作っ てみましょう。

SQLインジェクションの対策を紹介する前に、SQLインジェクションがなくならない訳について考えてみよう。そのほかの脆弱（ぜいじゃく）性とも共通するが、いくつか理由が考えられる。つまり「セキュリティーに対する認識の低さ」「セキュリティーに対する技術・知識の低さ」「経済的理由」が大きな理由のようだ。このような現状を踏ま え、どのような対策が可能かを紹介する。

今すぐ利用できるトレースバック技術はどれも「帯に短し、たすきに長し」です。第1回で紹介したように、今すぐ利用できるトレースバック技術には、SNMPを使った発信源の探知（FDB検索方式）、BGPやMPLSを使った流入口の探知 （シャントルーティング方式）、ポートミラーリングや光スプリッタを使ったトレースバック（ハッシュ方式）、サンプリングを使ったトレースバック（フロー サンプリング方式）の4種類があります。

今回は無線LANの暗号化方式として、IEEE 802.11bで規定されているWEPについて、特にその解読法について説明する。IEEE 802.11は1997年に規定された、最初の無線LAN関係の規格である。当初は2Mbpsの規格であったが、その後すぐに11Mbpsに対応し、 54Mbpsに高速化され、現在策定中のIEEE 802.11nでは300Mbpsへの拡張が予定されている。  

第1回では、システムの5つの弱点として、「資産の特定」「リスクの分析」「リスクの評価・管理策の適用」「管理策の有効性の評価」「リスクの変化への 対応」ができていない、ということを説明しました。そして、システム内の「資産の特定」と「リスクの分析」についての注意点を紹介しました。今回は、実際にリスクを分析するために、システムの脅威と脆弱（ぜいじゃく）性を明らかにする手法を紹介します。

今回は特に鍵の安全性と解読について解説し、ストリーム暗号の仕組みを紹介する。暗号の安全性にとって鍵と呼ばれるパラメータが重要であり、暗号の安全性は鍵の推定問題に帰着することは前回述べた通りである。鍵を推定すること が鍵の全数探索と等価となることを理想として、暗号は設計されている。

本連載は、業務経験から、システム管理者／運用者の方に、監査でシステムの弱点（＝セキュリティー事故を引き起こす可能性のある弱点）を指摘さ れないためのノウハウを紹介します。もちろん、弱点を隠すのではなく、弱点を無くすことが目的です。多くの現場で採用されている、助言型の監査では、証跡を集め、指摘事項を形成し、改善提案と共に報告を行います。筆者はしばしば被監査主体から、「どこ までセキュリティー対策を行ってよいかわからない」という相談を受けます。  

OpenIDの具体的な内容や仕様がわからなくても、名前から推測すると、その裏にある発想が見えてきます。そのまま訳すとオープンなIDですので、閉 じていないIDということでしょう。つまり、サービスごとに閉じているIDではなく、1つ1つのサービスからオープンになっていて、どこでも共通に使える IDということです。