#インタビュー
ここでは、様々な人にインタビューを行い、新たな意見をもらい、セキュリティーについてより深く考えていこうというコーナーになっております。
#筑波大学 システム情報系 面 和成准教授へのインタビュー
今回、我々は情報セキュリティーに詳しい筑波大学の面准教授へ取材をしてきました。そこで、セキュリティーについて様々なご教授を頂いたので図を交えてこちらで共有していきたいと思います。
※インタビューページにつきまして、一部訂正がありましたので、面准教授指導の下、一部質問の訂正、削除を行いました。
Q1:パスワードのセキュリティーをより向上させるためにはどうすればいいですか?
A1:まず、脅威から説明します。パスワードが漏れてしまうとそれが攻撃者にいってしまうことに繋がります。また、多くの流出したパスワードが研究者に集められ、
それがAIにかけられてパスワードの特徴が分析されてしまいます。例えば、英字大文字が一番最初に来る、数字が末尾など。
理想としては、パスワード生成ツールを利用するのが良い(ランダム性が高いため特徴が出ない)しかし、利便性という面で見るとどうしても覚えにくいという欠点が出てきてしまいます。
また、パスワードの使い回しは良くないです。なぜなら、一箇所リーク(漏洩)するとすべてがアウトになってしまうので。しかし、パスワードを定期的に変えるのはやめたほうがいいという意見もあります。
なぜなら、どうしても似たようなもの、覚えやすいものに偏り特徴が出やすくなり、解析が容易になってしまうからです。
パスワードの安全性を保つには、サービスの重要度でパスワードを使い分けることです。
また、重要な情報を守るセキュリティは一段階の認証ではもう厳しいと言われています。今後は、他要素認証や二段階認証などに移行してくると思われます。(例えば、オンラインバンキングなど)(下図)
セキュリティーはサービスの導入と運用の費用に直結しています。とても高額な費用がかかるものもあります。なので、守るべきところを守るというのがセキュリティの基本的な考え方になってきます。 必要のないところにはセキュリティーを敷く必要は無いです。全てにおいてセキュリティーが高ければいいというわけではありません。
例えば、銀行などは高いセキュリティーが要求されますが、個人のPCなどはそこまで高いセキュリティーが要求されません。
なぜ、Windows10においてパスワードが8桁英数から4桁のPINに変わったのか?ということになります。(顔認証も同じであまり精度はよくありません) これは、端末を落とさない限り(自分が所持している限り)自分以外の誰もログインするができないと仮定したとき、その端末を拾った人がハッカーだという確率は非常に低いため、 利便性を重視したというわけです。(下図)
Q2:生体認証は今後どんなものが出てくると考えられますか?
A2:予想入になりますが……。生体認証はコスト、利便性によって選ばれて行きます。
まずは、指紋認証から。指紋認証はコストは安いが簡単に破られてしまいます。例えば、グラスに付いた指紋から指紋の複製ができたり、写真から指紋が解析されるなどということもあります。 それに取って代わると言われているのが、静脈認証です。静脈は体の内部にあるものなので、複製のしようがありません。しかし、今の段階ではコストがかなり掛かるという欠点があります。 けれども、普及すればコストはある程度抑えられると考えられています。
次は、虹彩認証です。これは、コストがかかりますが、利便性、セキュリティーともに優秀です。また、顔認証技術は誤認が多いため重要なところでは使えません。 他にも、DNA認証というものがあります。現在、最も精度が高い認証方式になっています。しかし、親と子供のDNAが近いため血縁では誤認する可能性があります。
今は利便性、精度、セキュリティーが優秀な、静脈、虹彩認証技術が主流になっていくと予想されます。
Q3:誤検知が時々起こるセキュリティーソフト実際のところ必要なのでしょうか?
A3:入れる意味としては、優先度の高い不審プログラムを検知してくれるということです。
まず、個人の場合から見ていきましょう。個人の場合、自分の端末がそれほど重要なデータが入っていなければ入れないという選択肢もあります。 しかし、自分を踏み台にした攻撃が行われる可能性があります(自分が知らぬ間に加害者になってしまったとき(図1) セキュリティーソフトはすべての攻撃を検知してくれませんが、重要な攻撃は検知してくれるので、イントールしておくことは重要です。
更に、このような最低限の対策をしておくことで対策を主張でき、自分をマスコミ等から守ることができるという利点もあります。
(図1)
次に組織の場合ですが、これらは企業のポリシーで入れることが義務付けられている場合がほとんどです。 個人と同じく、重要な攻撃は検知してくれます。しかし、情報漏えいなどがあった場合に最低限のことはしていたと企業を守るための主張ができます。 つまり、情報を守るだけではなく、体面を守るためにも役立ちます。
Q4:IoTには脆弱性がたくさんあると聞きましたが、実際どれくらいあるのでしょうか?また、対策はどのようにしたらいいのでしょうか?
A4:IoTの脆弱性の一番の理由は脆弱なパスワードです。パスワードがないもの、弱いパスワードのものがたくさんあります。法律の観点からパスワードを掛けているを破るのは違法ですが、 パスワードが掛かっていないものを見るのは公開されているとみなされるのでグレーゾーンなんです。セキュリティーのリテラシーが掛けているといえますね。 例えば、防犯カメラなどです。(実際に世界中の防犯カメラを見ることのできるサイトがあります) 知ることが大事で、ただつなぐだけと思っている者の認識を改める必要があります。
根本的に台数が多いので、セキュリティのパッチがしっかり適応されるのかというところが大事になって来ます。マイナーな機器は、対応が遅れる可能性は考えられます。
Q5:脆弱性はどのように見つけるのでしょうか?
A5:大きく分けて2パターンあります。一つは、内部から調査で発見される方法。もう一つは、外部から発見される方法です。(これは、善良な人がたまたま見つけることや、悪意のある人が悪質な目的のために見つけることも含みます。) 基本的には、オープンソースであればコードから経験などにより脆弱性と思われる部分を見つけ出し、実験をする方法などがあります。(善良な企業も、悪意のあるハッカーも含む)一般の人が見つけると、それは不具合として報告される。 それも突き詰めると脆弱性につながることもあるためもし、見つけたら製造元へ報告するようにしましょう。
Q6:量子コンピュータの登場によるセキュリティーへの脅威について教えてください。
A6:まだ少し、先の話になると思います。暗号の研究はまだ始まったばかりです。(対量子暗号と呼ばれる)量子コンピューターが登場するとRSAや楕円曲線など従来のEncryptionは破られますので、そのときに備えて新しい暗号の研究が必要になります。 まだまだ実用レベルでは無いです。例えば、今のコンピューターで解読に10億年かかる、Encryption方式でも量子コンピューターでは1時間で解けてしまいます。なので、量子コンピュータでも10億年かかるEncryption方式を開発しなければなりません。 ただ単に、桁を伸ばすのではなく問題を変えることが必要になってきます。
Q7:仮想通貨ではよく損失のニュースを耳にしますが、あれは企業の過失なのでしょうか?それとも、ブロックチェーンに脆弱性があるのでしょうか?
A7:今年(2018年)の5月まではブロックチェーンが破られたことはなく、取引所側の過失が原因でした。しかし、今年の5月にはマイニングの計算能力の低い通貨のブロックチェーンが破られてしまい、 ブロックチェーンへの参加者が少ないサービスが狙われるリスクが増えています。
Q8:今後のブロックチェーンの使いみちはどのようになっていくのでしょうか?
A8:今はなんとも言えない、手探り状態と言う感じです。我々の研究グループでも、研究を行いながらまさに探っているところです。
Q9:P2P方式のセキュリティーはどのようなものなのでしょうか?
A9:P2Pは、基本的に誰もが参加できるネットワークです。P2Pであるブロックチェーンネットワークにも誰もが参加できます。このようなP2Pのセキュリティーを高めるにはKYC(Known Your Customer)が重要と言われていますが、 これを世界基準で実現するのはかなりハードルが高いと言えます。
最後に、サイバーセキュリティ基本法第9条には、「国民は、基本理念にのっとり、サイバーセキュリティの重要性に関する関心と理解を深め、 サイバーセキュリティの確保に必要な注意を払うよう努めるものとする。」とあります。 つまり、国民にサイバーセキュリティーに対抗する努力が必要であることを述べています。 このウェブページがその助けになることを期待します。
