スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

真正性をつつく0 - 真正性を保証するのは意外と難しい

 連載(システム開発における情報セキュリティ)の方で細かい事を書くと読み難いと思ったので、個別に情報セキュリティネタを書きます。今回のお題は「真正性」です。真正性を簡潔に言うと、情報を要求するオブジェクトが本当に主張通りのオブジェクトなのかを保証する特性です。真正性を保証する為の行動の例としては、本人確認などがあげられます。文章にすると簡単そうに見えますが、システムを開発する方も運営する方も大変です。
 たとえばその人が営業部長の山田太郎(仮名)を名乗っているとします。この人は本当に営業部長の山田太郎なのでしょうか?多くの人は「車の免許証を見せてもらえばいい」と思うでしょうが、免許証が偽造されたものかどうか見抜けるでしょうか?また、「車の免許証を持っていないが緊急の用件なんだ。ちんたらしないで早く通したまえ。もし、君のせいでなにかあったら責任を取れるのか!」と一喝されればどうしますか?
 こうした簡単な例でもセキュリティ対策は大変です。山田太郎部長が本当に免許証を持っていなければどうやって認証するのでしょうか?認証するにしても本当に緊急かつ重要な要件ならばどうしますか?詳細な手順を作ってもバイトの人が面倒を避けて通してしまうかもしれません。特に他社の部長である場合、どうやって認証しますか?・・・真正性を真面目に考えると、簡単な例でも色々考えなくてはならない事が分かってもらえると思います。
 今度は情報システムらしい例を考えます。社内の端末からアクセスする人が、本当にその人なのかをどうやって認証しますか?社内の端末からアクセスされていても安心できません。その端末を使っている人が、本当にその端末を使うべき人なのかわからないからです。他人が端末の持ち主に罪をかぶせるために、なりすましているかもしれません。
 この2つの事例から分かる事は、人間だけがチェックしても駄目(人間は騙される)、コンピュータだけが判断しても駄目(抽象的な事が苦手)だという事です。人と情報システムの連携でようやく真正性を保証できます。ただし、100%の真正性は不可能だという事を忘れてはなりません。どの様な技術でもそれを破る方法を犯罪者は見つけ出します。また、完璧にしようとするとコストがかかり過ぎますし、厳重すぎる情報セキュリティは仕事に支障を及ぼします。
 以上のように真正性を保証するのは大変な事です。この連載では真正性について書きます。
スポンサーサイト

テーマ : ソフトウェア開発
ジャンル : コンピュータ

コメントの投稿

非公開コメント

No title

「あなたを通すことでトラブルがあったら責任とれませんから」

> 認証するにしても本当に緊急かつ重要な要件ならばどうしますか?

本当に緊急かつ重要な要件か否かを判断するすべがないので
その問いかけは無意味なのでは?

Re: No title

> 「あなたを通すことでトラブルがあったら責任とれませんから」
そう言えたら簡単なのですが、実際の会社でそういう態度を取ると様々な問題を生みます。
重要な取引がそれにより破断してもそれでいいと言い切れる会社はありません。
また、どれほどの損害が発生してもルールの方が大事だと考えて、そういう対応をするにしても、どうやってそれを全社員に守らせるのかを考えなくてはなりません。

> > 認証するにしても本当に緊急かつ重要な要件ならばどうしますか?
>
> 本当に緊急かつ重要な要件か否かを判断するすべがないので
> その問いかけは無意味なのでは?
判断する術を提供するのが情報システムです。

No title

> 判断する術を提供するのが情報システムです。

ごめんなさい、まったく理解できません。
「情報システムに不可能はない」とお考えなのでしょうか。

Re: No title

> > 判断する術を提供するのが情報システムです。
>
> ごめんなさい、まったく理解できません。
> 「情報システムに不可能はない」とお考えなのでしょうか。
不可能はないとは言っておりません。
この件に関しては可能だという事です。
100%は無理でも高い真正性を目指すのが情報システムです。
そもそも、真正性の保証が全く出来ないのであれば、真正性の保証という概念そのものがないと思いませんか?
こういった事例に全く対処できないのであれば、情報セキュリティは無意味といっても過言ではありません。
それに加えて、全く保証できないのであれば、連載を書こうとも思いません。
情報セキュリティを知らないのから驚かれたとお見受けしますが、こうしたセキュリティ要件はシステム屋をしていれば普通にあります。
どの様に真正性を保障していくのかは、組織の特性により異なり、1つの答えはありません。
1つの答えを作ると、クラッカーに突破されるだけです。
ですがある程度の保証は可能です。
この連載でその妙技を示します。

No title

> 不可能はないとは言っておりません。
> この件に関しては可能だという事です。

いや、そういうことじゃなくて。
「本当に緊急かつ重要な要件だ」が真であると判断できたとしても、
その人が真の部長であるかはわからないから通せないでしょう?

通す/通さないの判断に”入る理由"は関係ない
とするのがセキュリティではないですか?

公衆のマナーを守って下さい

> > 不可能はないとは言っておりません。
> > この件に関しては可能だという事です。
>
> いや、そういうことじゃなくて。
> 「本当に緊急かつ重要な要件だ」が真であると判断できたとしても、
> その人が真の部長であるかはわからないから通せないでしょう?
>
それを分かるように手助けするのが情報セキュリティであり、情報システムなのです。

> 通す/通さないの判断に”入る理由"は関係ない
> とするのがセキュリティではないですか?
残念ながらそれは違います。
それだと大雑把過ぎて、「全ての人を通さなければ安全だ」という風な極論になってしまい、誰も守れないルールになってしまいます。
それを如何にして防ぐのか、ここにセキュリティの味わい深さがあります。

何度もこういう事があったので注意します。
プロローグで分からないのは当然です。
冒頭で分からないと騒がず、人の話しを最後まで聞きませんか?
知らない分野のプロローグ(0回目)で分からないのは普通の状態なので、人の話しは最後まで聞きましょう。
人の話しをちゃんと聞かないでコメントする傾向が見受けられますが、人の話しを最後まで聞いたうえで判断して下さい。
ここは公衆の場であり他の方も読んでいますので、是非マナーを守って下さい。
お願いいたします。

No title

> 冒頭で分からないと騒がず、人の話しを最後まで聞きませんか?

ならばはじめに「目次」を呈示してくださいよ。
読み手にとっては目次のないまま本を読んでるのと同じなのです。
その後詳しい話が続くのかわからないのだから質問するしかないじゃありませんか。

Re: No title

何度も注意しておりますが、文章はよく読みましょう。
題名に0がついていますし、最後に「この連載では真正性について書きます。」と書いてあります。
兎に角、落ち着いて読んで頂きたいです。

No title

> 最後に「この連載では真正性について書きます。」と書いてあります。

荒すぎ。それは目次と呼べる代物ではなく、ただの表題です。

Re: No title

> > 最後に「この連載では真正性について書きます。」と書いてあります。
>
> 荒すぎ。それは目次と呼べる代物ではなく、ただの表題です。
目次とは誰も言っておりません。
言っているのは「連続して書かれるものだと予想付くでしょうに」です。
何故かプロローグだと分からずに、記事が完結しているものだと早とちりして結論を出している貴方は問題があります。
先ほどから、私の返事に対してもちゃんと読んでいない貴方の姿勢が問題なのです。
私の返信を勝手に「緊急の要件だと分かっても・・・」などと一部に限定したり、勝手に目次がないと言ったり、
別の記事で自分が思う通りの単語がないなどと騒いだり・・・
前にも言いましたが、貴方と私は違う人間です。
貴方が思う通りの文章は書きません。
私は貴方だけのために書いているのではありませんし、貴方がどう思うのか事前に分かりません。
その様な我儘過ぎる態度は非常に問題です。
公衆の場であなた一人の我儘は通りません。
このブログで事前に目次を書いていないのは、その方が楽しいと判断しているからです。
これからも事前に目次を書く事はありません。
私は貴方にお金をもらって記事を書いているわけではありませんから、貴方だけに記事を書いておりません。
主に初心者の方に向けて、情報技術普及のために書いております。
その点をご理解下さい。
プロフィール

インドリ

Author:インドリ
みなさん、はじめまして、
コンニチハ。

ボクは、無限の夢(infinity dream)を持つネタ好きな虹色の鳥インドリ(in dre)です。
色々な情報処理技術を啄ばむから楽しみにしてね。

http://twitter.com/indori
は別人による嫌がらせ行為です。
私とは関係ないので注意して下さい。
次はなりすましブログなどをするかもしれませんが、ここ以外でブログをするつもりがないので、ここ以外にインドリのブログがあったとしても無視してください。


何度言っても分からない人がいるので、ここにコメント欄へ書き込むときの注意事項を書きます。


一、社会人としてのマナーをわきまえましょう。
一、妄想に基づく書き込みを止めてください。
一、暴言の類は書かないで下さい。
一、某誹謗中傷サイトの書き込みは彼らの妄想に基づく書き込みですから無視して、ここへ書き込まないで下さい。
一、コメント書く前に他のコメントよく読んでから行って下さい。
一、言いがかかり等の行為を禁止します。
一、その他常識的に考えて迷惑なコメントはしないで下さい。


以上のルールを守れない人のコメントは削除します。



利用上の注意
ここに紹介してある文章およびプログラムコードは正確であるように心がけておりますが、内容を保証するものではありません。当サイトの内容によって生じた損害については、一切の責任を負いませんので御了承ください。


執筆したCodeZineの記事


【VB.NETで仮想CPUを作ろう】

  1. VB.NETで仮想CPUを作ろう
  2. レジスタの実装
  3. 仮想CPUのGUI化
  4. テストドライバの改良
  5. CPUの基礎動作の実装
  6. MOV命令の実装
  7. ADD命令実装
  8. SUB命令実装
  9. INC命令&DEC命令の実装と命令長
  10. MLU命令の実装とModR/Mについて
  11. DIV命令の実装とイベント設計について
  12. 機械語駆動式 関数電卓を作ろう!
  13. 機械語駆動式 関数電卓を作ろう! 解答編(前半)
  14. 機械語駆動式 関数電卓を作ろう! 解答編(後半)


【仮想ネットワーク実装でTCP/IPを学ぼう】
  1. TCP/IPの基礎と勘所
  2. ネットワークアクセス層の勘所
  3. インターネット層の勘所
  4. トランスポート層の勘所
  5. アプリケーション層の勘所
  6. セキュリティの基礎と仮想ネットワークの仕様
  7. GDI+と独自プロトコルの定義



【並列化】
インテル Parallel Studioを使って並列化プログラミングを試してみた
並列プログラミングの効率的なデバッグを実現する「Parallel Inspector」


【TBBシリーズ】
  1. インテル スレッディング・ビルディング・ブロックの概要
  2. インテルTBBから学ぶループの並列化
  3. スレッドセーフとインテルTBBのコンテナ
  4. インテルTBBのスレッドクラス


【OpenMPシリーズ】
  1. OpenMPの基礎構文
  2. OpenMPの実行時ライブラリと並列ループ
  3. OpenMPのメモリモデルとfork- joinモデル

最近の記事
最近のコメント
月別アーカイブ
カテゴリ
Ada (9)
COBOL (5)
C (9)
C++ (11)
C# (370)
D (25)
Java (8)
Perl (1)
Ruby (14)
PHP (2)
Boo (2)
Cobra (2)
LISP (6)
F# (33)
HTML (0)
XHTML (0)
CSS (0)
XML (0)
XSLT (0)
Scala (4)
WPF (0)
WF (2)
WCF (0)
LINQ (4)
MONO (5)
Linux (0)
MySQL (0)
ブログ内検索
リンク
最近のトラックバック
RSSフィード
ブロとも申請フォーム

この人とブロともになる

QRコード
FC2カウンター
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。