PR

木村 修二 関西情報・産業活性化センター 情報化推進チーム システム技術チーム 部長

 ネットタダ乗り「無銭LAN」なるのもが売れているらしい。友人が購入したので見せてもらったら、BackTrack4(バックトラック)のCDが付いていた。これでWEPキーを解読して「タダ乗り」ということなのだろう。

 WEPの脆弱性については、上原先生が2009年8月21日に本コラムに執筆した「無線LANの『現在の脅威』 」で解説されているので、そちらを参照してほしい。簡単に言えば、「WEPは、無線LANの世界で最初に登場した暗号化方式です。今までに……いくつかの欠点が見つかっているため、現状では使用することを推奨しません」(独立行政法人 情報処理推進機構:IPA)ということである。

 各種の情報セキュリティガイドラインでも同様の取り扱いとなるだろう。WEPは規格化されて約10年、誰でも簡単に短時間で解読できるフリーツールまで公開されることになったのである。この事態は暗号の寿命という問題を顕在化させる大きな契機となった。

 「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」(2009年10月 経済産業省)では、個人情報は「暗号化などによって秘匿化されているかどうかを問わない」としている。

 ただし、「例えば以下のように、本人の権利利益が侵害されておらず、今後も権利利益の侵害の可能性がないまたは極めて小さいと考えられる場合には、本人への連絡を省略しても構わないものと考えられる」として、「高度な暗号化などの秘匿化が施されている場合」を例示している。これは2009年10月の改正で追加されたもので、改正前は暗号化されていようがいまいが同じ取り扱いであった。

 暗号化の具体的なメリットが示されたガイドラインの改正を大いに歓迎したし、やっと暗号の利用が拡大してきたのに冷水は浴びせたくない。しかし、通信途中で盗聴され、あるいは媒体を盗まれ、それが長期間集積されることを想定すると、たとえ暗号化されていたとしても、自らの管理下から逸脱することは大きな危険をはらむものなのだと「無銭LAN」によって再認識させられた。

 個人情報保護法制定時に暗号化された個人情報の取り扱いについての議論があったが、暗号には寿命があること、解読される可能性があるということで、平文も暗号文も同じ取り扱いになった。個人情報は長期に保存される可能性があるから、暗号の寿命を意識したのは卓見であった。電子政府推奨暗号の安全性を評価・監視しているCRYPTRECにしても「電子政府のために今後10年間は安全とされる暗号技術のリストアップ」をしているのだから、10年以上先は分からない。

 そもそも、無線通信は不特定の人に傍受されることを前提とした通信手段である。たとえ暗号化していたとしても、暗号には寿命があるのだから、センシティブな情報の通信手段には馴染まないと位置づけるべきではないだろうか。少なくとも鮮度が重要な意味をもつ情報は暗号化だけでいいが、10年先でも重要な意味をもつ情報は、暗号が解読されることを前提とした対策を加えることが必要となるはずだろう。