真正性をつつく0 - 真正性を保証するのは意外と難しい

　連載（システム開発における情報セキュリティ）の方で細かい事を書くと読み難いと思ったので、個別に情報セキュリティネタを書きます。今回のお題は「真正性」です。真正性を簡潔に言うと、情報を要求するオブジェクトが本当に主張通りのオブジェクトなのかを保証する特性です。真正性を保証する為の行動の例としては、本人確認などがあげられます。文章にすると簡単そうに見えますが、システムを開発する方も運営する方も大変です。
　たとえばその人が営業部長の山田太郎（仮名）を名乗っているとします。この人は本当に営業部長の山田太郎なのでしょうか？多くの人は「車の免許証を見せてもらえばいい」と思うでしょうが、免許証が偽造されたものかどうか見抜けるでしょうか？また、「車の免許証を持っていないが緊急の用件なんだ。ちんたらしないで早く通したまえ。もし、君のせいでなにかあったら責任を取れるのか！」と一喝されればどうしますか？
　こうした簡単な例でもセキュリティ対策は大変です。山田太郎部長が本当に免許証を持っていなければどうやって認証するのでしょうか？認証するにしても本当に緊急かつ重要な要件ならばどうしますか？詳細な手順を作ってもバイトの人が面倒を避けて通してしまうかもしれません。特に他社の部長である場合、どうやって認証しますか？・・・真正性を真面目に考えると、簡単な例でも色々考えなくてはならない事が分かってもらえると思います。
　今度は情報システムらしい例を考えます。社内の端末からアクセスする人が、本当にその人なのかをどうやって認証しますか？社内の端末からアクセスされていても安心できません。その端末を使っている人が、本当にその端末を使うべき人なのかわからないからです。他人が端末の持ち主に罪をかぶせるために、なりすましているかもしれません。
　この2つの事例から分かる事は、人間だけがチェックしても駄目（人間は騙される）、コンピュータだけが判断しても駄目（抽象的な事が苦手）だという事です。人と情報システムの連携でようやく真正性を保証できます。ただし、100％の真正性は不可能だという事を忘れてはなりません。どの様な技術でもそれを破る方法を犯罪者は見つけ出します。また、完璧にしようとするとコストがかかり過ぎますし、厳重すぎる情報セキュリティは仕事に支障を及ぼします。
　以上のように真正性を保証するのは大変な事です。この連載では真正性について書きます。