Bruce Schneier Counterpane Internet Security
「CRYPTO-GRAM May 15, 2006」より

 著作「Beyond Fear」の中で,セキュリティ・ポリシーの例外から生ずるセキュリティ・リスクについて書いた。ここでは,アイルランドの空港セキュリティに関する事例を紹介しよう。

 ダブリン空港では,警官はセキュリティ検査を受けずに入場可能だ。身分証明書をちらっと見せれば,検査ゲートを迂回できる。

 「ダブリン空港では,セキュリティ検査を受けていない運輸省の査察官を入場させてしまう事件が起きた。このため,同空港の検査部門に所属する女性職員は再訓練を受けている」

 「この査察官は,運輸省の職員バッジをかざして検査所を通過したようだ。空港の検査官は,その場で空港警備員の検査手順違反に気付いた。検査を受けずに通過できるのは,警官だけである」

 この事件が起きた理由としては,二通りの可能性が考えられる。一つは,警備員が「運輸省の職員は警官と同じ特権を持っている」と考えてしまった可能性である。もう一つは,警官の身分証明書を見せられたと誤解した可能性だ。

 今回の事件は,「悪人が警官の身分証明書を偽造して使う」という事件が簡単に起こることを示している。おそらく警備員などは,見せられた身分証明書のすべてをきちんと確認してはいないだろう。

 根本的な問題は,「セキュリティに例外を設けると,例外自体がセキュリティの穴になる」ということだ。未検査で通過可能な検査所のある空港セキュリティ・システムを構築すると,すぐに悪者がそのシステムを利用しようとする。検査を迂回できるルートを設けたい理由はあるだろうが,そのトレードオフをよく検討しなければならない。

http://archives.tcm.ie/businesspost/2006/04/16/...

Copyright (c) 2006 by Bruce Schneier.


◆オリジナル記事「The Security Risk of Special Cases」
「CRYPTO-GRAM May 15, 2006」
「CRYPTO-GRAM May 15, 2006」日本語訳ページ
「CRYPTO-GRAM」日本語訳のバックナンバー・ページ
◆この記事は,Bruce Schneier氏の許可を得て,同氏が執筆および発行するフリーのニュース・レター「CRYPTO-GRAM」の記事を抜粋して日本語化したものです。
◆オリジナルの記事は,「Crypto-Gram Back Issues」でお読みいただけます。CRYPTO-GRAMの購読は「Crypto-Gram Newsletter」のページから申し込めます。
◆日本語訳のバックナンバーは「Crypto-Gram日本語訳」のページからお読みいただけます。
◆Bruce Schneier氏は米Counterpane Internet Securityの創業者およびCTO(最高技術責任者)です。Counterpane Internet Securityはセキュリティ監視の専業ベンダーであり,国内ではインテックと提携し,監視サービス「EINS/MSS+」を提供しています。