ITmedia NEWS > セキュリティ >
ニュース
» 2019年02月22日 07時00分 公開

なぜ、宅ふぁいる便は「暗号化」していなかったのか (3/3)

[高橋睦美,ITmedia]
前のページへ 1|2|3       

 例えば、一概に「暗号化していれば、ハッシュ化していれば大丈夫」ともいえません。むかーしむかし使われていた「MD5」や「SHA-1」といった古いアルゴリズムは、計算機の能力が向上した今となっては現実的な時間で解読できることが明らかになり、非推奨とされています。けれど、古くから動いてきたシステムを棚卸ししてみたら、実はそんな古いアルゴリズムで暗号化したままだった……なんていう可能性は十分あり得るのではないでしょうか。

 そして、この先も同じような悩みが生まれる可能性はあります。一例が量子コンピュータの登場です。先日、米Digicertが開催した年次カンファレンスでも、量子コンピュータ実用化後の暗号アルゴリズムの危殆化(きたいか)が話題になりました。

 量子コンピュータが現実のものになれば、SSL/TLSやSSHといったおなじみの暗号化通信や電子署名を支えている、RSAをはじめとする暗号アルゴリズムが解読できるようになる可能性があります。米国立標準技術研究所(NIST)は早くもそんな時代をにらみ、耐量子コンピュータ暗号の策定に向けたコンテストを実施しており、米DigicertやMicrosoftといった複数のベンダーが研究に取り組んでいます。

 もちろん、時代を超えて変わらぬ「常識」もあります。けれどこうした動きを踏まえると、昨日の安全は今日のリスク、今日の常識は明日の非常識になる可能性を考慮に入れ、環境や技術の変化に柔軟に対応可能なシステム設計にしておくこと、アップデートや変更可能なアーキテクチャを採用しておくことが重要ではないでしょうか。ITシステムはもちろん、より長いライフサイクルが想定される組み込み機器やIoT機器、コネクテッドカーなどの場合は、そんな中長期的視野がいっそう求められるでしょう。

 同時に、長く続いてきたサービスには、将来を見据えた柔軟性だけでなく、過去から続いてきた機能やユーザーエクスペリエンス、互換性を損なわないことも求められます。言うのは簡単ですが、過去と未来、双方に配慮しながらのシステム開発をどう実現していくか、考えるべきことは多そうです。

 蛇足ですが、宅ふぁいる便の一件に関しては、何年も前に退会したユーザーのデータも漏えいした点が気になりました。会社としては、できるだけ多くのデータを保持しておきたいのがサガかもしれませんが、こうした事故の際のリスクを考えると、ベストプラクティスに従って必要十分以上の個人情報は保有しないことが一番といえそうです。

前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.