NIS-Be通信+(No.4)

NIS-Be通信(第4号)~

発行日:2021年2月1日

NIS-Beメルマガ編集局

《TOPIC》

  • セキュリティのさじ:サイバー攻撃関連
  • NIS-Be最新情報
  • コラム:セキュリティと品質
  • One TERM(用語解説):暗号その3(公開鍵暗号)
【セキュリティのさじ:情報セキュリティに関する最近の話題をピックアップし掘り下げます】

 12月中旬から、サイバー攻撃に関する記事が急増しました。振り返って読むと、12月8日のファイア・アイ社の発表を契機に、12月13日にはソーラーウィンズ社【以下、SW社】が発生源と特定され、米国政府、大企業を含むその被害の影響範囲の広さや深刻さが露わになってきています。

 被害状況の詳細は不明ですが、今回の事件を見る際に①攻撃の起点として自社製品にマルウェアを仕込まれたSW社の「製品提供者としての視点」と、②SW社の製品を使うことで情報漏洩のリスクにさらされた「利用者側の視点」の二つがあります。

 まず製品提供者側の視点として、SW社は《なぜ攻撃者のアタックを許したのか(事前の警告を軽視したとの報道もありましたが…)》また、パッチの適用という防御弱体部分を狙う巧妙さはあるにしても《なぜマルウェアへの感染に気づけなかったのか》という疑問があり、少なくとも専門企業として調査・公表することは責務であるでしょう。

 次に利用者側の視点として、渦中の直接被害者たちは責任ある政府機関や企業として当然「セキュリティ対策」を実施していたにもかかわらず《なぜ8ヶ月という長期間、いずれの組織でも検知出来なかったのか》、《なぜファイア・アイ社は検知できたのか》という疑問と《感染状態での対策の有効性(例:情報暗号化の効果)》が気になります。

 これらの疑問や気になる点に対してはいずれ調査結果が公表されることと思いますが、我々もそれらの結果を受けて「自問自答」することで、今後の実務に対する良い教材にもなるのではと考えます。

 また、この機会を捉えて、情報セキュリティへの関心が低い傾向にあるといわれることの多い「製造現場」への注意喚起をする報道が見られたのも、注意を引きました。

参考「ファイア・アイ大幅安 サイバー攻撃被害」            12/8 日経新聞

  :「サイバー攻撃、米英40超の企業・政府標的に」      12/18 日経新聞

  :「米サイバー防衛効かぬ抑止 攻撃疑いのロシア駆け引きも」12/28 日経新聞

  :「「安全な国」襲う工場ハック ジレンマに陥らぬ経営を」   1/5 日経新聞

 活動報告

  • お助け隊の成果報告会(オンライン:1/15)

 ⇒「サイバーセキュリティお助け隊(Eva Aviation社が参画しているチーム)」の成果報告会がオンラインで開催されました。参加企業(約50社)のアンケート結果(危機感あるも困惑している、パスワード管理が未熟と感じている等)が印象的でした。

 ⇒「NIS-Be通信(第3号)」をNIS-Beサイトブログのアーカイブ(1月)に登録しました(今後も発刊後、順次登録します)。

【One TERM(用語解説)】

●暗号その3

第1号では、暗号の歴史のまとめとして「現在の暗号化手法には、大きく分けて「共通鍵暗号」と「公開鍵暗号」の二つがある」と結び、第2号ではその内の「共通鍵暗号」について解説しました。今回は「公開鍵暗号」について解説します。

【公開鍵暗号】

従来型暗号である「共通鍵暗号」には、昔から「鍵配送問題(鍵漏洩で容易に解読)」が存在し、暗号の用途拡大で「鍵管理の煩雑さ」の問題も新たに発生しました。

それらの問題を解決する手法として「暗号化の鍵と復号化の鍵を非対称にする」方式が1960年代から考案され、具体的なアルゴリズムとして1977年に発表されたのが「RSA暗号」で、解読の困難性や実用性が各種チャレンジにより確認されてきました。ただ、「共通鍵暗号」に比べて複雑な計算が必要で、その結果「処理が遅い」という問題があり、利用は限定されていました。

そこで、最初の鍵共有時の秘匿性確保のためだけに「公開鍵暗号」を利用し、その後の通常通信の「秘匿」には処理の早い「共通鍵暗号」を利用することで、両者の弱点を補完する手法が編み出されたのです(ハイブリッド暗号方式)。しかしこの方式でも、第三者による「なりすまし問題(通信するA、B間に第三者Mが悪意を持って入ることで、AはMをBと、BはMをAと誤認させる)」が解消されている訳ではなく、相手を正しく認証できていることが必要です。

そのために、公開鍵暗号の特徴を活用し本人であることを確認する仕組みが考えられ、「デジタル署名(以下電子署名と記載)」と呼ばれるようになりました。

その実現方式のひとつが、みなさんも毎日のように目にしているSSL/TLS方式です。安全性が求められるインターネットサイトの多くには、アドレスの先頭に’https’と記載されており、「電子署名」を含めたハイブリッド方式が使われ、なりすましなどを防止しています。

ちなみにRSA暗号の鍵長ですが、アルゴリズムの進化やコンピュータ能力の向上により、従来の256ビットから現在は1024ビットに、2030年まで想定するなら2048ビットが推奨されています。ただ無闇な鍵長の増大は実用(性能)面からも制約となり「RSA暗号」の次世代方式が求められ、注目を集めているのは、より少ない情報で同等以上の暗号強度を実現できる「楕円曲線暗号」。電子署名では「ECDSA署名」等が推奨されています。

今号で暗号シリーズは終了予定でしたが、電子署名を含めた技術的な方式だけで安全性を担保するには十分でなく、仕組み《方式を実装した基盤(公開鍵基盤:PKI)や組織(認証局:CA)》も合わせて整備する必要があり、次号で「暗号(番外編)」として解説予定です。

———————————————————————————————-

【編集後記】

年が明けて一ヶ月がたちましたが、みなさんは如何お過ごしでしょうか?

自分は「初詣」も「新年会」もない正月となりましたが、その元凶は言うまでもなく「コロナ渦」にあり、今ではウイルスと共存する前提で、ワクチンに期待しつつ各自が対策(三密回避、マスク・手洗い、体力維持・免疫力強化)を実施するしかないと感じています。

この状況は、どこでウイルスに感染するか分らないサイバー空間と同じであり、感染しないように、また感染しても被害が拡大しないようセキュリティ対策を実施することの大切さを改めて痛感します。

       (佃)