奇怪論理と優良誤認に脅かされる情報セキュリティ
Information Security threatened by illogical arguments

國米 仁
株式会社ニーモニックセキュリティ
Jin Kokumai
Mnemonic Security, Inc.


要旨: 論理の整合性だけでセキュリティが成り立つものでないことは言うまでもないが、整合した論理の存在しないところにセキュリティが成り立ちえないことも明々白々である。筆者がこれまで遭遇した奇怪な論理の数々を検証し健全な情報セキュリティ理論の構築に寄与したいと考える。

Abstract: Prevailing are a lot of queer and illogical arguments about information security.  We naturally have to see corporate managers puzzled.  Logics alone cannot provide security, but it is obvious that security can by no means be provided without consistent logics. Taken up here are the striking cases of illogical arguments that the writer has experienced .

キーワード: 優良誤認

1. はじめに: セキュリティの初めの一歩は本人認証

『あの人は誰?』や『この人がその人です』という本人確認は社会生活の基礎の中の基礎である。これがキチンとしていなければ社会生活は根元から成立しない。ネット社会でも同じであり、本人認証があやふやなままでは如何に優れた暗号技術もどんな強力なセキュリティ技術も機能しない。つまり、本人認証はセキュリティの要素技術の一つというよりも、セキュリティ技術全体を下から支える基盤であり、セキュリティを考える上での与件とも言えるものである。

筆者は京都大学経済学部在学時に出口勇蔵教授の経済哲学ゼミに属し、未熟ながらも経済行為に関わる意思決定や人間の行動全般に関して哲学的・歴史的な考察を試みていた。大企業サラリーマンや土木現場の筋肉労働を経験した後には海千山千ビジネスマンを相手の国境をまたいでの貿易や事業開発コンサルティング・技術移転斡旋事業など様々な実業活動を経験した。

起伏に富んだ35年のビジネス経験を経ていまや58歳、観念的で非現実的な想定に頼ることなく人間と社会をあるがままに観察できるようになってきたと思っている。IT業界におられる多くの方々とは恐らくかなり異なる背景を持つ筆者だが、 このたび情報セキュリティ業界や学会に蔓延する技術フェティシズム傾向の強い非論理的な議論や常識の仮面をかぶった非常識を取り上げ、筆者なりの考察を加えてみた。総て本人認証に関わるものである。

2.奇怪論理の数々と考察

その1: パスワードはアカウント毎に異なる8桁以上のランダム英数字として数ヶ月に一度は変更し且つメモ依存は厳禁、或いは、銀行カード・クレジットカード・ロッカーなどに使う暗証番号はそれぞれ違うものとして頻繁に変更し且つメモ持ち歩きは厳禁。

考察: 至るところで見うけられ議論であるが、貴方に出来ないことを貴方が行えば貴方は安全になります、と言い換えることのできるもので珍妙論理の筆頭においた。100人中の数人でも出来る人がいれば、誰にでもやれることだということになっているかのようである。

その2: 紛失した時には遠隔操作でデータを抹消できるので、この携帯端末には機密データを貯めても安心だ。

考察: 知識のある攻撃者は盗むと同時に電源を切り電波の届かないところでデータ窃盗を試みれば良いのだから防犯効果はない。他方、事業者の言い分を信じたユーザは安全と思い込んで大事なデータを溜め込むので盗まれた時の被害は甚大となる。更に、本人認証が脆弱だと、所有者の手中にある携帯端末の中のデータを攻撃者が無断で抹消してしまうことも可能になる。つまり、単に効果が乏しいといったレベルの話ではなくて、試みてはならない暴挙では?

その3: 銀行カードの暗証番号は安全に運用するのが大変だ。つまり暗証番号は安全ではないと言える。安全ではない暗証番号を使う銀行カードは安全とは言えない。安全ではない暗証番号を切り離せば銀行カードは安全になる筈だ。カード犯罪を抑止する為に暗証番号など使わず銀行カードだけで運用する方法を提唱する。

考察: 誰にでも冗談に過ぎないと見抜ける。では次の議論は?

「パスワードを安全に運用するのは大変だ。担当者にはパスワードを格納したICカードかUSBキーを渡し、装着時に自動的にパスワードを送出させる。こうしたICカードやUSBキーを持たない人間はデータにアクセスできないようにしてセキュリティを守る。」

敢えて述べる必要もないようなものだが、銀行カード1枚持ってさえいれば預金を降ろさせても良いというのと同じ論理レベルである。

その4: 「玄関の錠前が弱いとの指摘を受けたので扉を厚くした。錠前? 扉を厚くして安全になったのだから錠前まで触る必要は感じていない。」

考察: 物理的警備では「扉の強化」は「鍵の強化」の代替にはならないことは直に理解されるが、バーチャル世界では言葉に幻惑されるようで多くの実例を見ることが出来る。以下に例示する。

「パスワードでは頼りにならないのでPKIを導入した。(運用はパスワードだ。)」

「暗証番号では怖いので2要素セキュリティのワンタイムパスワード発生ICカードを使っている。(ICカードの所有者認証? 暗証番号だ。)」

「パスワードでは駄目と言われたので、ワンタイム認証された携帯電話機を持っていない人間でなければアクセスできない方法を採用した。(携帯電話機の盗用? 4桁暗証番号で守っている。)」

「磁気カードは簡単に偽造されるのでICカードに切り換えた。(運用は4桁暗証番号だ。)」

「フィッシング犯が騙そうとするのはユーザ端末ではなく生身のユーザ本人だが、ユーザ端末が騙されるのを防ぐソフトウェアを使えば生身の人間を騙そうとするフィッシングを防止できるのだ。」

その5: 生体認証は「本人拒否をゼロに近づけようとすると他人受容率が際限なく撥ね上がり、他人受容率をゼロに近づけようとすると本人拒否率が際限なく撥ね上がり」という原理的な制約を抱えた技術であるが、パスワードと組み合わせることによって高いセキュリティと利便性の両方を提供することができる。つまり、忘れ易く盗まれ易いパスワードでは安全を守れないので、忘れることも盗られることもない生体情報を使うバイオメトリックスを認証に使って安全を実現すれば良く、稀に起こる本人拒否に対してはパスワードで対処すれば良いのだ。

考察: パスワードの実践上の他人受入率をα(推測可能な本人固有データを使っている場合やメモを持ち歩いている場合には極めて高い数値)とする。生体認証の実践上の他人受入率をβ(偽造され易い方式であれば極めて高い数値)とする。OR型選択方式で運用される時の全体の他人受入率は(αかβの低い方でもなければ高いほうでもなく)α+βの合算値だ。これは(βが絶対的なゼロで無い限りは)、必ずαよりも高い数字になる。つまりパスワードだけの方式に比べてセキュリティ向上効果がないというに留まらず、明らかにセキュリティを引き摺り下ろしている。便利にはなっているようだが、この利便性向上はセキュリティを犠牲にして得られたものでユーザだけでなく盗人も受益者である。

全体のセキュリティは使いこなせない脆弱なパスワードに決定的に左右される上に、生体認証の他人受容チャンスが追加提供されているという事実によってセキュリティは無惨にも最低レベルまで崩壊する。つまり、生体認証とパスワードのOR方式では高い利便性を謳うことは出来まるが、パスワードよりも高い他人排除力を謳うことは出来ない。謳えば紛れもない虚偽であるということになる。
こうした非論理が何故まかり通ってしまうかを考察してみよう。

A: パスワードは高い他人排除力を期待できる認証手段ではない。

B: 生体認証は高い他人排除力を持つ。

C: 生体認証に伴う本人拒否問題はOR方式で併用するパスワードに頼って解決すれば高いセキュリティを実現する。

A・Bは不整合ではない。B・Cも不整合ではない。しかし、Aの内容はCの内容を否定しているのだから、A・B・Cは紛れもなく不整合性である。「全体整合は部分整合の総和ではない」ことの見本のようなものであろう。

ところが、言葉の表面だけを追うと「生体認証の高い他人排除率でセキュリティを実現し、本人拒否という使い勝手の問題はパスワードを併用することで解決できるので、セキュリティと使い勝手の二つともに満たして目出度し目出度しだ」と聞こえるようで、産学官を問わずに実に多くの人がこのA・B・Cを有効な議論だと納得してしまっている。(筆者の体験ではセキュリティ業界・学界関係者100人中の95人以上。)

注:(片手懸垂のできる人や100mを12秒で走る人も稀にいるのと同じように、少しはいるであろう)強固なランダムパスワードを自在に使いこなせる人の場合にはどうなのか、という設問もありえるがこの議論ではA命題によって否定されている。

その6: ORで駄目でもANDなら良いだろう。本人拒否が殆ど起きないようにと閾値を大きく下げた生体認証とパスワードをANDで併用する方式にすれば、双方の弱点を双方の利点がカバーしあうので不都合を抑えて高いセキュリティが実現できる。

考察: 生体認証の本人拒否率をゼロに近付けるように閾値を大きく下げているのだから他人受容率は撥ね上がっている筈だ。他人排除力に期待を持てないのでその補強をパスワードに頼るのがこの用法の主旨とすれば、「他人排除に期待を持てない生体認証と他人排除に期待をもてないパスワードの2つをANDで使う」ことがこの用法の実態ということになる。これは明らかに「弱い」+「弱い」にすぎず、「強い」結果を得られる筈のない組合せである。また「指や手を置くだけで認証!」という簡便さの魅力も失われている。

つまり、本人拒否を殆ど起さない生体認証とパスワードのAND方式では「パスワードだけよりは高い他人排除力」を謳うことは出来るが、「強固なセキュリティ」を謳うことも「高い利便性」を謳うことも出来ない。

何故「強い」結果の得られないものが「強い」と認識されてしまうのかを考察してみたい。

A: パスワードは高い他人排除率を期待できる認証手段ではない。

B: 生体認証では他人排除率を大きく下げるような閾値を設定すると本人拒否問題を緩和できる。

C: 弱い防御と弱い防御を足すと強い防御になる 

D: 生体認証の閾値をゼロ近くまで下げて本人拒否問題を軽減し、低下した他人排除率はAND方式で併用するパスワードに頼って解決すると高いセキュリティを実現する。

一見するとA・B・C・Dの間に不整合はないように思える。しかし、じっくりと考えるとDは成立していないことが判る。これは「弱いもの」と「弱いもの」の足し算の結果はやはり「弱いもの」の域を越えず、C命題が真ではないからである。

この奇怪論理を支配しているのは「2つの要素のANDならば強くなるはず」だとの思い込みだ。確かに「強い」或いは「かなり強い」要素を含む足し算は「強い」結果を生む。しかし「弱い」要素2つの足し算は所詮「弱い」という範疇を抜け出るものではない。十両級以上が2人同時にかかれば横綱も難儀をするだろうが、子供が2人や3人かかってきても1人と別に変りはない(*)。これと同じである。「強い」との結果を得るためには足し算すべき要素は少なくとも「かなり強い」要素を含んでいなければならない。「弱い」+「弱い」では「強い」結果を得られる筈がないのである。

(*)英語ならば weak + weak = less weak と表現するところ。 less weak は stronger とは異なる。

他面では、どんな怪我や体調不良でも必ず通過させるところまで閾値を下げることはしないだろうから、頻度は少なくても万が一本人拒否が起こった場合には、特にモバイル環境では権利義務の遂行が不可能になるというリスクを抱えこむことに変りはない。この本人排除は原理的に本人の責に帰せられない性格のものである以上は最終的にはシステム提供者・推薦者・認可者側が何らかの責めを負わざるを得ないものである。結局は本人拒否の対策にコストと手間を掛けざるを得なくなる。(尤も、「金も人も有り余っていて本人拒否対策のコストや手間などは問題ではない。」と言われると「どうぞご自由に」としか言えないが。)

注: 「Xに加えてYも使うので安全 = 安全であるためにはXだけでもYだけでも駄目」とはならない。Xだけで安全かも知れないし、Yだけでも安全かも知れないから。他の要因も考慮する必要がある。

ここで次の2つを考慮すべき要因とする。

(i) Xの提唱者にとって「Yは脆弱で信頼できない」との認識が最初の出発点である。
(ii) X AND Yで運用するとXの誇る利便性が大きく損なわれる。

(i)によって「Yだけで安全」という可能性は排除される。次はXであるが、Yを加えれば利便性は大きく損なわれる(ii)のであるから、出来ればYを加えずに高い利便性を維持したままで運用したい筈である。それにも関わらずYを加えるのは、加えたくなくても加えざるを得ないからだというのが合理的解釈であろう。

そうするとXが自立できていないことが判る。つまり、ここでのXに加えてYも使う運用方法は、「自立できていない技術」と「信頼できない技術」を組み合わせて低い利便性を忍びながら使おうというものだと判断することができる。

「パスワードには頼ることができない」という命題を最初に立てたからには「ORであれANDであれパスワードに依存できる筈がない」というのが正しい論理の立て方であろう。

その7: たった4桁の暗証番号すら使っていない携帯端末ユーザが殆どだ。生体認証で暗証番号を解除できる機種は暗証番号だけの機種よりもセキュリティは下がるかも知れないが、何もないよりは高いセキュリティを提供するのは明らかなのだから意義のあることだ。 

考察: 暗証番号を使っていないユーザはセキュリティがないことを知って携帯端末を使用している筈である。一方、(暗証番号をORで併用している)生体認証をセキュリティ手段として薦められたユーザは安全になった筈と勘違いして機密情報を蓄積してしまうことになる。盗難にあった時の被害は暗証番号を使わなかったユーザに比べてはるかに大きなものとなる。つまり、この「ボロ鍵であっても鍵は鍵なのだから鍵がないよりも安全だ」とも言い換えられるこの主張は犯罪の被害を大きくするだけの暴論であろう。

その8: 「盗まれた場合の悪用対策の一環として個人認証用の生体情報をICカードに保管した。これでICカード盗用による犯罪は有効に防止できる筈だ。保管した生体情報の漏洩を避けるために、このICカードは厳重に管理して盗まれることのないようにして頂かねばならない。」

考察: 後半部分が前半部分を否定している奇怪な論理だが、次のような状況を考えれば珍妙さが更に浮き上がってくる。

・盗用防止のためとしてICカードに保管する生体情報は医療情報としての価値を持つ究極のプライバシー情報である

・この医療情報が遺伝性疾患につながるものである可能性を将来にわたって排除することはできない

・生体情報は万人不同・終生不変と言われている

・永久的耐タンパー性を保証されたICカードは存在しない

・ICカードを不正取得した犯罪者は解読技術の登場を何十年でも気長に待つことができる

・善意のユーザが生体情報搭載ICカードで守ろうとするのは多くの場合せいぜい一ヶ月分の生活費

・クレジットカード兼用であれば店員にカードを手渡してしまうこともある

・悪意のユーザが意図的に本人拒否を演出し「自分のせいではなく機械(=事業者)のせいで業務が間に合わず損害が生じたがどうしてくれる」との狂言が可能

・悪意のユーザが自分のICカード(=自分の生体情報)を無過失で紛失したと装うことは容易である

その9: 指紋認証突破のための指切断事件[1]が起こりまんまと成功されてしまったそうだが、照合装置に生体検知機能が付いていれば大丈夫だ。

考察: 切り取った肉体では照合不能の製品もあるのかも知れないが、粗暴犯罪予備軍の全員がそうした知識を持っているわけではないだろう。メーカー或いは業界団体から事前に犯罪予備軍に対して完璧な教育を施して納得しておいてもらわない限りやはり起こり得ることだ。攻撃者の知識レベルによっては照合対象が静脈その他の体内情報であっても切取事件は起こり得る。そして、経験則では起こり得ることは遅かれ早かれ実際に起こる。生体検知機能はシステムを守るかも知れないが、知識の不十分な攻撃者に狙われてしまったユーザは大丈夫ではない

3.結語 

本稿で取り上げた奇怪論理は「優良誤認」と結びついている。セキュリティ向上効果の疑わしい「セキュリティ技術」「セキュリティソリューション」が優良誤認に基づいて普及してしまった結果として国民の中で情報セキュリティ技術全般への信任が崩壊してしまえば、どんなに良いものを作っても電子証明書や電子通貨が広く国民に受いれられることは考えられない。そうなると信頼すべき本人確認手段や通貨を持たない経済活動なるものを考えざるを得なくなるが、そのような環境での企業活動がどのようなものになるか想像すらできない。

たとい権威と言われる専門家の言葉であっても鵜呑みにすることなく論理の整合性を自ら徹底的に 検証して頂きたいと切望し、本稿によって警鐘を鳴らす所以である。

ところで、いつでもどこにでも自由に持ち歩くことのできるものでなければならない電子的本人確認手段は時と場所を選ばない無制限の脅威に曝され続けることになる。換言すると、最先端のIT知識と古今の戦略戦術論で武装した悪知恵に長けた頭脳集団の執拗な組織的攻撃にも耐える強靭さが必要だ。

筆者のグループでは、いつでもどこでも老若男女の誰でもがストレスなく実行できる確実な本人認証手段として懐かしく愉しい長期視覚記憶を活用することを提唱している。これは、どんなに頭の良い攻撃者が如何に手の込んだ攻撃方法を考え出しても、個々人それぞれが長い人生の中で蓄積してきた無尽蔵とも言える当該人物固有の記憶を当該人物の主観的な文脈通りに取り出すことはできない、という観察を背景にしたものである。[2]

安全・安心なデジタル社会・ネットワーク社会の実現と定着に寄与できれば幸である。

以上


参考文献

[1] http://news.bbc.co.uk/2/hi/asia-pacific/4396831.stm
[2] http://www.mneme.co.jp/


TOP
HOME 会社概要 商品情報 説明資料 ウェブ認証 アライアンス提携 ご意見 Q&A