真正性をつつく4 - アクセス経路の特定をしよう
この記事は、真正性をつつく3の続きです。前回は、デジタルの認証技術について解説しました。今回は、次の手順であるアクセス経路の特定について解説します。
おさらいします。真正性を保証するシステムを設計するには、対象となるオブジェクトを明確化し、認証技術の決定を行います。次にするべき手順は、アクセス経路の特定です。真正性を保証するオブジェクトを定め、対象に使用する認証技術を決定しても、アクセス経路を特定しない内には役に立ちません。何故ならば、人の認証とデジタルなオブジェクトの認証は違うように、対象となるオブジェクトによって認証方法が異なるからです。ちょっと分かり難いので、毎度おなじみの例を使用して解説します。
営業部長山田太郎(仮名)が、直接会社を訪問する事もあれば、会社のシステムへアクセスしてくる場合もあります。この2つの状況を考えると、受付嬢などの人間が対応する場合と、サーバーが対処する場合がある事が分かります。人間と機械の対応は自ずと違いますので、アクセス経路ごとに対象(プロセスなど)と認証手段を考える必要があります。また、会社訪問の場合も、掃除婦の方が話しかけられる場合もあります。さらには、受付嬢の場合も契約状況(派遣、正社員、アルバイト、パート)により権限と責任が違いますので、取りうる認証手段が異なります。こうした状況も考えなくては、真正性を保証するシステムを提供できません。
ここで一つの疑問が浮かぶ人がいるかと思います。「何故、アクセス経路の特定を先に考えないのか」。その疑問については、セキュリティレベルをあげるためです。認証技術は日々進歩しています。過去につくったシステムの認証技術をそのまま使うのではなく、現在の認証技術を検討しなくてはなりません。先にアクセス経路を決めてしまうと、先入観により「前に採用した認証技術をそのまま使用しよう」という流れが起きてしまいます。システムを作る人の中にも保守的な人が多く、既存の知識の範囲だけで物事を判断してしまう人が沢山います。そうした人達がシステムの選択肢を減らしてしまうと、既存の技術の弱点を知り尽くしたクラッカーの餌食になります。セキュリティを考慮したシステム開発とは、ただ単にセキュリティ技術を採用する事ではなく、開発工程で起こる人間の盲点にも対処するという事なのです。
アクセス経路は、物理的な物と論理的な物(システムと非システム)の2種類あります。物理的なアクセス経路は、会社の構造に対する経路(情報システム外の経路)です。論理的なアクセス経路は、システムにログインすると言った非物理的な情報システム内の経路の事です。直感的に分かりやすいように、論理的/物理的と表現しましたが、物理的アクセス経路と言っても、建物内だけのルートではなく、電話でアクセスしてくるなどといった経路もあり得るので注意しましょう。また、論理的アクセス(情報システムでのアクセス)内にも、ネットワーク外からアクセスされる場合と、ネットワーク内からアクセスされる場合などといった複数のパターンがありえます。こうした細かな事まで考える事がセキュリティ対策では必要です。
おさらいします。真正性を保証するシステムを設計するには、対象となるオブジェクトを明確化し、認証技術の決定を行います。次にするべき手順は、アクセス経路の特定です。真正性を保証するオブジェクトを定め、対象に使用する認証技術を決定しても、アクセス経路を特定しない内には役に立ちません。何故ならば、人の認証とデジタルなオブジェクトの認証は違うように、対象となるオブジェクトによって認証方法が異なるからです。ちょっと分かり難いので、毎度おなじみの例を使用して解説します。
営業部長山田太郎(仮名)が、直接会社を訪問する事もあれば、会社のシステムへアクセスしてくる場合もあります。この2つの状況を考えると、受付嬢などの人間が対応する場合と、サーバーが対処する場合がある事が分かります。人間と機械の対応は自ずと違いますので、アクセス経路ごとに対象(プロセスなど)と認証手段を考える必要があります。また、会社訪問の場合も、掃除婦の方が話しかけられる場合もあります。さらには、受付嬢の場合も契約状況(派遣、正社員、アルバイト、パート)により権限と責任が違いますので、取りうる認証手段が異なります。こうした状況も考えなくては、真正性を保証するシステムを提供できません。
ここで一つの疑問が浮かぶ人がいるかと思います。「何故、アクセス経路の特定を先に考えないのか」。その疑問については、セキュリティレベルをあげるためです。認証技術は日々進歩しています。過去につくったシステムの認証技術をそのまま使うのではなく、現在の認証技術を検討しなくてはなりません。先にアクセス経路を決めてしまうと、先入観により「前に採用した認証技術をそのまま使用しよう」という流れが起きてしまいます。システムを作る人の中にも保守的な人が多く、既存の知識の範囲だけで物事を判断してしまう人が沢山います。そうした人達がシステムの選択肢を減らしてしまうと、既存の技術の弱点を知り尽くしたクラッカーの餌食になります。セキュリティを考慮したシステム開発とは、ただ単にセキュリティ技術を採用する事ではなく、開発工程で起こる人間の盲点にも対処するという事なのです。
アクセス経路は、物理的な物と論理的な物(システムと非システム)の2種類あります。物理的なアクセス経路は、会社の構造に対する経路(情報システム外の経路)です。論理的なアクセス経路は、システムにログインすると言った非物理的な情報システム内の経路の事です。直感的に分かりやすいように、論理的/物理的と表現しましたが、物理的アクセス経路と言っても、建物内だけのルートではなく、電話でアクセスしてくるなどといった経路もあり得るので注意しましょう。また、論理的アクセス(情報システムでのアクセス)内にも、ネットワーク外からアクセスされる場合と、ネットワーク内からアクセスされる場合などといった複数のパターンがありえます。こうした細かな事まで考える事がセキュリティ対策では必要です。
スポンサーサイト
