一般的に“グローバル・シークレット(global secrets)”*のセキュリティは低いと考えられる。問題は2つある。一つは,セキュリティ・システムの微調整が不可能なことだ。「ある人には秘密を知らせて,別の人には秘密を教えない」といった運用しかできない。二つ目の問題は,グローバル・シークレットの脆さである。うまく機能しなかった場合にはダメージが大きくなる。グローバル・シークレットが流出した場合には,悪人がきわめて強力な秘密情報(鍵)を手にすることになる。
*訳注:グローバル・シークレットとは,「複数の対象物(システム)へのアクセスを可能にする秘密情報(鍵)」を指していると考えられる。
このグローバル・シークレットの問題が,今まさにオーストラリアのシドニーの地下鉄で起きている。地下鉄車両のマスター・キーが何者かに盗まれたのだ。マスター・キーを使えば,都市部のすべての車両に入ることができる。車両を動かすこともできる。
残念ながら,たまたま運に恵まれた泥棒の仕業ではない。シドニーではマスター・キーの盗難が過去2回起きており,(車両を狙うためにマスター・キーを盗んだのではなく)マスター・キーそのものが攻撃目標だった可能性がある。
シドニーの地下鉄のマスター・キーを手に入れたら何ができるだろうか?マスター・キーの窃盗は,テロリストよりも犯罪者の仕業である疑いが強い。そうだとしても,深刻な問題であることは間違いない。
(シドニーの地下鉄を運営する)RailCorp社が列車の鍵を交換すべきかどうかは私には分からない。マスター・キーの盗難によって生ずるリスクを知らないからだ。マスター・キーで守るセキュリティの範囲を,車両の盗難を防ぐことだけに限定しているのか(車両を盗むというシナリオは考えにくいが),他の潜在的なシナリオも考慮しているのか,私は知らない。それに,鍵の交換にどれだけの費用がかかるのかも分からない。
グローバル・シークレットに関するもう一つの問題は,セキュリティ面で失敗すると復旧に多くの費用がかかる点だ。
マスター・キーが悪人の手に渡ったのは,間違いなくこれが初めてではない。(RailCorp社CEOの)Vince Graham氏が「都市部の車両の鍵をいくら交換しても意味はない」と述べたことからも分かる。
「我々は週に1回鍵を変更することもできるが,セキュリティに対する脅威の緩和には役立たないと思う。乗務員たちに鍵を2000本支給しており,これ自体が問題の種だ」(同氏)
グローバル・シークレットに関する最後の問題は,制御を失いやすいということだ。
教訓:グローバル・シークレットに頼ってはいけない。
<http://www.schneier.com/blog/archives/2005/09/...>
<http://smh.com.au/news/national/...>
<http://www.news.com.au/story/0,10117,16418960-29280,00.html>
Copyright (c) 2005 by Bruce Schneier.
◆オリジナル記事「The Keys to the Sydney Subway」
◆「CRYPTO-GRAM September 15, 2005」
◆「CRYPTO-GRAM September 15, 2005」日本語訳ページ
◆「CRYPTO-GRAM」日本語訳のバックナンバー・ページ
◆この記事は,Bruce Schneier氏の許可を得て,同氏が執筆および発行するフリーのニュース・レター「CRYPTO-GRAM」の記事を抜粋して日本語化したものです。
◆オリジナルの記事は,「Crypto-Gram Back Issues」でお読みいただけます。CRYPTO-GRAMの購読は「Crypto-Gram Newsletter」のページから申し込めます。
◆日本語訳のバックナンバーは「Crypto-Gram日本語訳」のページからお読みいただけます。
◆Bruce Schneier氏は米Counterpane Internet Securityの創業者およびCTO(最高技術責任者)です。Counterpane Internet Securityはセキュリティ監視の専業ベンダーであり,国内ではインテックと提携し,監視サービス「EINS/MSS+」を提供しています。
