真正性をつつく6 - 認証オブジェクトを考えよう
この記事は、真正性をつつく5の続きです。前回は、アクセスポイントの決定について解説しました。今回は、認証オブジェクトについて解説します。
アクセスポイントには、必ず認証オブジェクトが必要となります。例えば、受付には受付嬢が必要ですし、研究室の扉には認証端末が必要です。セキュリティ対策を行う際には、それら認証オブジェクトを熟考しなくてはなりません。具体的には、認証内容、認証行動、認証に必要なデータの3点を考えます。つまり、誰が何をどの様に何をもって認証するのかよく考えます。
認証内容、認証行動、認証に必要なデータは関連しています。認証する内容に基づき、どの様に認証するべきなのかが決まりますし、認証を行う際に必要なデータもそれで決まります。真正性の場合、何がどれだけ保障されているのかが認証内容に該当します。これから原則を述べます。
原則其の一、認証に必要なデータは認証側から絶対に漏らさない。認証に必要なデータが漏れると、それだけなりすましが容易になります。これはオレオレ詐欺を思い浮かべると良く分かると思います。犯人「オレオレ」、被害者「健二かい?」、犯人「そうそうオレ健二だよ」。この様に認証に必要なデータを漏らすと、不適切なオブジェクトが認証をパスしてしまいます。これは意外と忘れがちなので十分に注意しましょう。
原則其の二、認証に必要なデータは最小限にする。認証するオブジェクトに対して、不必要にデータを開示してしまうと、そこからクラックされる可能性が高くなります。権限に応じたデータを持たせましょう。
原則其の三、アクセス経路を集約化します。この原則は他の原則と密接に関係しています。認証オブジェクトに最低限のデータしか渡さないと、自ずと十分な認証が出来なくなります。そこで、より権限の高い認証オブジェクトを知らせておき、認証対象となるオブジェクトがそこに集まるようにします。そうすれば、権限と責任が明確化し、人間の意識も集中できます。その結果、効果的なセキュリティ対策が行えるようになります。アクセスパターンが複雑化すると、それだけセキュリティ上の弱点が多くなりますのでこれは非常に重要です。
原則其の四、情報資産の価値に比例させる。保護対象となる情報資産の価値が高ければ、それだけ厳重に保護しなくてはなりません。価値が低い情報を厳重に補語してもコストが高くつくだけです。情報セキュリティに割り当てられる予算と労力は有限です。重要な情報に予算と労力を割り当てられる様に注意しましょう。
原則其の五、定期的に確認しましょう。どれだけ厳重にセキュリティ対策を行っても必ず穴がありますし、時間とともにクラッキング技術も向上します。セキュリティ対策は一度考えたらお終いではありません。あくまでもスタート地点に過ぎません。また、安全だと人は安心し、セキュリティ意識が低くなっていきますので、定期的にセキュリティ対策を見直し、セキュリティ教育も行う必要があります。
細かい事を言えばきりがありませんが、ひとまずこの5つの原則をおさえましょう。そうすれば、ある程度有効なセキュリティシステムになります。情報資産の重要性は高まっています。今後、情報資産の重要性は減らないでしょうから、これからの時代これぐらいは押えておく必要があります。続く...
アクセスポイントには、必ず認証オブジェクトが必要となります。例えば、受付には受付嬢が必要ですし、研究室の扉には認証端末が必要です。セキュリティ対策を行う際には、それら認証オブジェクトを熟考しなくてはなりません。具体的には、認証内容、認証行動、認証に必要なデータの3点を考えます。つまり、誰が何をどの様に何をもって認証するのかよく考えます。
認証内容、認証行動、認証に必要なデータは関連しています。認証する内容に基づき、どの様に認証するべきなのかが決まりますし、認証を行う際に必要なデータもそれで決まります。真正性の場合、何がどれだけ保障されているのかが認証内容に該当します。これから原則を述べます。
原則其の一、認証に必要なデータは認証側から絶対に漏らさない。認証に必要なデータが漏れると、それだけなりすましが容易になります。これはオレオレ詐欺を思い浮かべると良く分かると思います。犯人「オレオレ」、被害者「健二かい?」、犯人「そうそうオレ健二だよ」。この様に認証に必要なデータを漏らすと、不適切なオブジェクトが認証をパスしてしまいます。これは意外と忘れがちなので十分に注意しましょう。
原則其の二、認証に必要なデータは最小限にする。認証するオブジェクトに対して、不必要にデータを開示してしまうと、そこからクラックされる可能性が高くなります。権限に応じたデータを持たせましょう。
原則其の三、アクセス経路を集約化します。この原則は他の原則と密接に関係しています。認証オブジェクトに最低限のデータしか渡さないと、自ずと十分な認証が出来なくなります。そこで、より権限の高い認証オブジェクトを知らせておき、認証対象となるオブジェクトがそこに集まるようにします。そうすれば、権限と責任が明確化し、人間の意識も集中できます。その結果、効果的なセキュリティ対策が行えるようになります。アクセスパターンが複雑化すると、それだけセキュリティ上の弱点が多くなりますのでこれは非常に重要です。
原則其の四、情報資産の価値に比例させる。保護対象となる情報資産の価値が高ければ、それだけ厳重に保護しなくてはなりません。価値が低い情報を厳重に補語してもコストが高くつくだけです。情報セキュリティに割り当てられる予算と労力は有限です。重要な情報に予算と労力を割り当てられる様に注意しましょう。
原則其の五、定期的に確認しましょう。どれだけ厳重にセキュリティ対策を行っても必ず穴がありますし、時間とともにクラッキング技術も向上します。セキュリティ対策は一度考えたらお終いではありません。あくまでもスタート地点に過ぎません。また、安全だと人は安心し、セキュリティ意識が低くなっていきますので、定期的にセキュリティ対策を見直し、セキュリティ教育も行う必要があります。
細かい事を言えばきりがありませんが、ひとまずこの5つの原則をおさえましょう。そうすれば、ある程度有効なセキュリティシステムになります。情報資産の重要性は高まっています。今後、情報資産の重要性は減らないでしょうから、これからの時代これぐらいは押えておく必要があります。続く...
スポンサーサイト
