PR
(Mark Joseph Edwards)

 最近「隠すことがセキュリティの基本である」という点に異議を唱える人々が現れている。しかし,私は改めて,隠すことこそが強いセキュリティを確保するために不可欠であることと再認識した。

 この考えは,ZDNetにあるGeorge Ou氏のブログの記事を読んで浮かんできた。同氏は「無線LANを安全にするとき役に立たない最低の6つの方法」について書いている(該当サイト)。私は,彼が無駄だとして挙げた技術に,セキュリティ面の問題があることに同意するものの,それらの方法が役に立たないとの主張は間違っていると思う。

無線LANのセキュリティに使えない?
 無線LANのセキュリティ強化に役に立たない方法として,Ou氏が1番目に挙げたのは,MAC(メディア・アクセス・コントロール)アドレスによるフィルタリングである。理由はこうである。Snifferのようにネットワークを流れるデータを収集するツールがあれば,だれでもMACアドレスは調べられる。従って,MACアドレスを基に無線LANのアクセス・ポイント(AP)への接続を制限しても無駄であるというわけだ。

 2番目に,APや無線LANクライアントに付けるSSID(サービス・セット識別子)を隠すことが無駄だとした。SSIDの伝送方法は5種類あるが,単純な構成変更でSSIDの発信を止められるのはそのうちの1つだけだとOu氏は書いている。その他の方法ではSSIDの発信を止められないので,SSIDは隠せない。

 3番目に,認証技術のLEAP(Lightweight Extensible Authentication Protocol)が役に立たないと,同氏は考えている。それを効果的に利用するには強いパスワードを使う必要があり,強いパスワードを人間が管理するのは不可能だというのが理由である。さらに,LEAPはCisco Systems独自のプロトコルである。

 4番目に,IPアドレスなどを自動的に割り当てるDHCP(動的ホスト構成プロトコル)を無効にすることが無駄だとした。Ou氏は,前述のSnifferなどを使えば,どんなIPアドレスが使われているかを調査できるので,手動で自分に同じサブネットのアドレスを割り当てられるとする。

 5番目に,アンテナの配置を工夫することが無駄だと挙げた。無線LANでは,セキュリティ強化のため,アンテナをビルの真ん中に設置して,最小の電力でAPを稼働させ,そのカバー範囲を制限することを推奨する人がいる。これが役に立たないという。侵入者は高性能のアンテナを使うからだ。

 最後に役に立たない方法として挙げたのは,IEEE 802.11aやBluetoothのようなあまり普及していない無線ネットワーク技術を使うものだった。どちらもそれら単独ではセキュリティを強化しない。

隠すことは確かにセキュリティ上の効果がある
 情報セキュリティの世界では,基本的に,100%効果のある方法はないという教えがある。最近は,これに加えて,「隠すことによってセキュリティは強化されない」ということも教えとして言われるようになってきた。第1のものは真実かもしれないが,第2のものは恐らく間違っている。というのは,私にはあらゆる形のセキュリティは,程度こそ異なるものの,隠す効果を利用しているように思えるからだ。

 以下にそれを示そう。まず,強い暗号はどんなものであれ破るのがひどく大変だ。もちろん,十分な時間と高速な計算機を使える人間ならば,最強の暗号でさえ結局は破れる。強い暗号は,侵入者が入り込む隙を非常に小さく狭めるバリアーになるが,可能性のある侵入をすべてはねのけるわけではない。しかし,強い暗号はある種の隠ぺいであり,それは確かにセキュリティ上の効果をもたらす。

 できる限り無線LANを隠すことによって,ほとんどの侵入を防ぐこともできる。侵入者は,その障害を越えるための情報を十分に得られないからだ。SSIDのブロードキャストを止めることのように,最もありふれた処置でさえ,無線ネットワークへのアクセス阻止に役立つはずだ。

 さらに私は,強いパスワードは実際に役に立つと言いたい。特にOu氏が,人間が強いパスワードを管理するのは不可能だという点について反論しよう。強いパスワードを記憶するのは最初のうちは難しいが,決して不可能ではない。破られにくいパスワードを作る独創的なテクニックの1つは,異なる言語から取った単語を含むようなパスフレーズ(パスワード文)を作ることだ。同じ文字を使う別の言語から(その言語を話さなくても構わない)1つまたはそれ以上の単語を取ってきて,それらの単語を記憶したり,強いパスワードやパスフレーズを作るために使ったりすればいい。いったい何人の侵入者が,あなたのパスワードが1ダースもの違う言語から取った1ダースもの違う単語から成り立っているなんて考えるだろうか?そしてそのようなパスワードやパスフレーズを破ろうとして多数の辞書をそろえる人間が何人いるだろうか?