物理的なセキュリティにも「多層防御」が必須
クラウド情報セキュリティ
ITpro3月8日の記事によれば、サーバールームのドアの施錠に使用されているシリンダー錠や暗証番号錠は簡単に開いてしまうとのこと。そのため錠前を2重化や鍵とは別のシステムで入退室管理を実施することが望まれるとのこと。
概要は次のとおり。
世界には解錠のスピードを競う「Key Impressioning Game」と呼ぶイベントもあり、米国の物理セキュリティ関連イベント「LockCon」(http://blackbag.nl/)内で毎年開催されている。そして毎年のように解錠スピードの記録は塗り替えられている。
解錠技術は最新のRFID錠 についても研究されている。2011年のLockConでは、スイスの大手錠前メーカーの製品が研究対象として取り上げられ、特殊な工具を使わずに解錠で きることが示された。
弁護士でもあるマーク・ウェーバー・トビアス氏が率いる研究グループは、針金、ボールペン、磁石、クリップ、アルミホイルなどで空港 やデータセンター、政府機関などで使われるRFID錠を解錠した。
この世に開かない鍵は無いだろうから、解錠までの時間を我々は買っていることになる。メーカーから回答を受けた研究グループは「何分で解錠できるかやって みよう」と実験した。結果は針金だけで解錠でき、要した時間は59秒51だった。メーカー想定よりもはるかに短い時間しか稼げないというのが現実のようで ある。
こうした事実を踏まえると、物理セキュリティでも「多層防御」が必要になる。錠前を2重化して鍵の管理者を分離させたり、監視カメラを設置したり、鍵とは別のシステムで入退室管理を実施したりといった多層防御が考えられる。
データセンターでITセキュリティばかりに意識が向いてしまい、物理セキュリティがおろそかになると取り返しのつかないことになりかねない。建物に侵入さ れて暗号鍵を盗まれたりすると、どんなITセキュリティも無力化されてしまう。物理セキュリティを見直して、多層防御の考え方を取り入れるべき。
2011年、米国で物議を醸した出来事がある。子供向けハッカーイベント「DEFCON Kids」において、ハッキング手法の教育の一つとしてシリンダー錠のピッキング方法を教えた。DEFCON Kidsは保護者同伴を前提とした8歳から16歳までの子供を対象にしたイベントで、これまでもSQLインジェクションのようなハッキングの手法を教えて たりしていた。
さすがにピッキングの方法は教育上好ましくないと一部のメディアが批判的に報道した。
とはいえ、冷静に考えればSQLインジェクションであれ、シリンダー錠の解錠方法であれ、インターネットで検索すれば簡単に情報を入手できる。システムや錠が簡単に破れることを子供のうちから教育したほうが、セキュリティに対して十分な注意が払える人材育成につながるという考え方もあるだろう。
出典元:ITpro(http://itpro.nikkeibp.co.jp/article/COLUMN/20120220/382089/?k3)
コメントを投稿する
※コメントは管理者による承認後に掲載されます。