連載
» 2019年11月19日 07時04分 公開

半径300メートルのIT:セキュリティ意識の陳腐化について 「これなら安心安全!」はすぐに危険になる (1/2)

情報セキュリティの世界に「絶対」はありません。「この対策さえすれば、絶対安全ですよ!」というフレーズは、大抵間違っています。特に怖いのは、その「絶対安全」の基準がすでに古くなり、むしろ犯罪者の狙い目になっていることで……

[宮田健,ITmedia]

 情報セキュリティの世界に絶対はありません。「これなら絶対安全!」といった言葉が踊っていたら、その情報は大抵、間違いです。特に注意したいのは、その情報が数年前のものであり、最新の脅威がアップデートされていない場合でしょう。一時期は確かに安全策として有効だったことが、今も有効とは限りません。

TOP その対策、古すぎませんか?

 セキュリティの常識は移ろいやすいもの。いきなりの結論ですが、当たり前と思われていることも定期的にアップデートしていく必要があります。

公衆無線LAN、パスワード定期変更、錠マーク、EV SSL……変化する常識

 例えば、公衆無線LANなどは良い方向に常識が変わった例と言えるかもしれません。その昔、メールや「telnet」には、重要な情報を暗号化せず、平文のまま通信経路に流してしまうものが使われていました。そのため「WPAなどの暗号化手法を使っていない公衆無線LANは利用していはいけない」という、セキュリティ上の常識がありました(私も2013年には、そのような内容のコラムを公開しています)。

 しかし現在は、ほとんどのサイトが「HTTPS」化されています。つまり、Webブラウザで行われる通信は、ほぼ暗号化されていると考えて良いでしょう。メールもブラウザ経由で見ているでしょうし、telnetは暗号化されたsshに変わりました。そのため最近は、公衆無線LANのリスクもかなり下がったといえます(もちろん、VPN利用など企業組織のポリシーは守ってくださいね)。

 パスワード設定の常識も変わっています。定期変更の強要は無意味(むしろ悪影響)と知られるようになり、複数の数字や記号を含む文字列よりも、単語をたくさん使い、長い文字列のパスワードを利用すべし、という常識に変化しました。これも、かつての常識を語る記事が無用になってしまった例です。

 そして現在、利用者の認識が変化しつつあるのがSSLサーバ証明書、いわゆる「URLバーに表示される錠マーク」です。実際のところ、この錠のマークが証明しているのは、今も昔も「サーバとWebブラウザとの間が暗号化されていること」のみです。しかし、SNSやWebサイトで発信されるメッセージには「錠マークが表示されていれば、そのWebサイトは安全で安心」と誤認させるような表現や説明をよく目にします(私の連載では書いていないと思っていますが……)。これに関しては、大きなリスクが顕在化しつつあると思います。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ