全くゾッとするような話が出てきた。かいつまんで言うと,最高機密へのアクセス許可(セキュリティ・クリアランス)を持つ米国政府の請負業者が,海軍の潜水艦の追跡に用いられるコンピュータ・システムに悪意あるコードを仕掛け,動作を妨害したというのだ。
こうした問題を見付け出し,解決するのは確かに面倒だ。だが,ちょっと待ってほしい。一体どうやったら,たった一人の愚か者が数十億ドルもの兵器システムに損害を与えることができるのだろうか。このような事態を防ぐためのセキュリティ・システムは導入されていないのだろうか。結局,誰が,どのようなコードを,どこに書き込んでも,何も制限,あるいはレビューされていなかったに違いない。この男がもう少し賢ければ,捕まることなくシステム全体にさらに大きな損害を与えることができたはずだ。
個々の人間を信用するための方法の一つは,それぞれの人が信頼に足るかどうかを確認することだ。上述したクリアランスのプロセスで,この問題は解決しているように見える。しかし,わずか1人の人間がこれほど甚大な被害をもたらせることを考えると,個人ごとに信頼のレベルを分けて権利を制限するといった第2のセキュリティ機構を設けることが重要である。コードのレビュー,あるいは変更の監査といったシステムは,このような事態が生じるリスクの低減につながるはずだ。
この観点では,重要なコードに関するセキュリティにかけては,米軍よりも米マイクロソフトの方が進んでいる。断言してもいい。
http://content.hamptonroads.com/story.cfm?...
Copyright (c) 2007 by Bruce Schneier.
◆オリジナル記事
「U.S. Government Contractor Injects Malicious Software into Critical Military Computers」
◆「CRYPTO-GRAM April 15, 2007」
◆「CRYPTO-GRAM April 15, 2007」日本語訳ページ
◆「CRYPTO-GRAM」日本語訳のバックナンバー・ページ
◆この記事は,Bruce Schneier氏の許可を得て,同氏が執筆および発行するフリーのニュース・レター「CRYPTO-GRAM」の記事を抜粋して日本語化したものです。
◆オリジナルの記事は,「Crypto-Gram Back Issues」でお読みいただけます。CRYPTO-GRAMの購読は「Crypto-Gram Newsletter」のページから申し込めます。
◆日本語訳のバックナンバーは「Crypto-Gram日本語訳」のページからお読みいただけます。
◆Bruce Schneier氏は米Counterpane Internet Securityの創業者およびCTO(最高技術責任者)です。Counterpane Internet Securityはセキュリティ監視の専業ベンダーであり,2006年10月に英BTの傘下に入りました。国内ではインテックと提携し,監視サービス「EINS/MSS+」を提供しています
