ログの監査でセキュリティレベルを向上させる

ログというと「記録」ということですが、ウェブシステムなどのホームページなどのアクセスログなどを一般的にはイメージされるかもしれませんが、このようなログ以外にもコンピュータ上にはさまざまログを残すことができます。ログの役割としては、サーバの負荷、ユーザの行動、プログラムの不具合などの分析のほかに、不正なアクセスがないかを確認するという重要な役割があります。

しかし、ログを確認するという作業は、ほとんどの場合トラブルが起きたときだけに確認するというところが多く、ログを効果的なセキュリティ対策の向上に利用できていません。ログという記録を残すことで、トラブルの際に原因を突き止めるためのヒントにするというのは、かなり浸透しているとは思うのですが、原因を未然に防ぐための監査はまだまだできているところは少ないようです。

さて、このログの監査ですが、重要なのは「変化に気づく」ということです。トラブルが起きてからログを分析するのではなく、定期的にログをチェックしていつもと違った動きがないかを確認します。また、システムの保守などのログインなども、事前の申請を行いあとで作業内容とログを照合するなどをすることによって、内部犯行の恐れも未然に防ぐ効果があります。

大事なデータが保存されている場所、特にデータベースや暗号化領域へのアクセスでは特にこのログの監査が重要になります。このとき管理者などの特権ユーザが操作した記録を残っていないと、ログの監査自体ができないので、そのような仕組みを普段から考えてシステムを設計することが重要になってくるでしょう。

次世代ファイルシステムでは暗号化が標準仕様となるか

WWDCというイベントをご存知の方も多いと多いと思いますが、毎年、米アップル社が開催する開発者向けのイベントがです。ここでは開発者向けという事もあり、多くの新技術が紹介されます。今年は6月の13日から17日までサンフランシスコで開催されました。

新機種や新OSの紹介がメインの中で地味に紹介されたのがアップルの次世代ファイルシステムAPFS(Apple File System)です。このファイルシステムは最近の主流の半導体ディスクであるSSDやフラッシュストレージなどを前提とした64ビットファイルシステムなのですが、注目すべきは主要な機能として暗号化が搭載されていることです。

このAPFSの暗号化の特徴は、単純なディスク全体の暗号化だけでなく、個別の暗号鍵でのファイルの暗号化にも標準で対応していることです。さらにクローンやスナップショットの機能も改善されています。これらが来年以降にMacOSやiOSに搭載されていくということですから、まさにクラウドやIoTを想定した次世代のファイルシステムと言えます。

数々の暗号化ソフトウエアがある中で、現在はどれが最善かと見極めるのは大変なことですが、OSに付属しているファイルシステムが高度な暗号化を標準で実装するようになると、一般の利用者への暗号化の理解も一気に広まるのではないかと思います。

セキュリティ対策はユーザ認証対策から始まる

様々なソフトウエアやサービスを利用するのにユーザ認証は使われますが、基本的にはIDとパスワードの入力を求めるもので、ここ何十年と変わることなく使われています。インターネットにつながっていなければ、簡単なパスワードでも被害はあまり起きませんでしたが、今の時代では簡単なパスワードはすぐに解析されてしまいます。

特に一般ユーザが利用するサービスでは、アカウントの乗っ取りやなりすましなどの事件が相次いでおり、パスワードを複雑にしたり、定期的な変更を求めるものが増えています。しかし、利用するサービスが増えるたびに、登録アカウントが増えてしまう現状では、複雑なセキュリティ対策はさらにサービスを使いにくくしています。

登録アカウントの増加を避けるためにインターネット上のサービスではFacebookやGoogleのアカウントを利用したログイン方式も登場しています。他のサービスとの共用は管理は軽減されても乗っ取りによる危険は増加することになってしまいます。またICカード、ワンタイムパスワード、生体認証など、さまざまなソリューションが提案されていますが、一般のインターネット上のサービスでの利用はまだまだ少ないようです。

暗号化においてもユーザ認証は非常に重要な役割を果たします。特に誰が暗号化サービスをスタートし、誰が暗号化されたデータを読むことができるのを暗号化ポリシーとして正しく定義して運用することが重要になります。暗号化ポリシーが適切でないと簡単に暗号化を解除できてしまうこともありますので、しっかりと設計をしていただければと思います。

IoTで加速する端末データのセキュリティ対策と暗号化処理

あるコンビニの監視カメラの映像がインターネットを経由して世界中に公開されていたことが話題になったのは記憶に新しいところですが、監視カメラに限らず多くの家電製品や電子機器がインターネットに接続するようになっています。このようにあらゆる物(Things)がインターネットを経由して情報交換をすることをIoT(Internet of Things)と呼ばれています。

そのような環境の中、総務省はIoTセキュリティガイドライン(案)に関する意見募集を5/31より開始しました。この中ではIoTにおけるセキュリティ対策が一般のコンピュータとは違うということがいくつか示されています。

1)影響範囲が大きい
2)ライフサイクルが長い
3)ネットワーク環境の不十分な理解
4)性能が限られている
5)想定外の接続の可能性

などです。特に4)では性能が不十分なために適切な暗号等のセキュリティ対策がとれない場合があるとされています。IoTで使用される電子機器は省電力でCPUやメモリに制約があるものが多く十分なセキュリティ対策ができないことがあるのです。このようなことからもIoT端末でのデータ暗号化対応というものは今後の検討課題として残っているようです。

一般的に暗号化はCPU性能を必要とするものが多いので、この分野での暗号化は高性能な省電力CPUというのが必須になるのかもしれません。