アーカイブ

2005 年 4 月 のアーカイブ

指紋認証を突破するために指を切断される事件が発生

2005 年 4 月 2 日 コメント 65 件

マレーシアで、盗難対策のために指紋認証を装備したメルセデスベンツS-classが強盗に遭遇し、車を持ち去るために運転者の指が切り取られるという事件が発生したとBBCが報じた

切断した指をキーとして使い続けるということはありえないだろうから、安全な地点まで車を移動させ、指紋認証メカニズムを取り外し車を転売するのだろうか。

バイオメトリクスの限界については先日来、グミ指等の複製の可能性や取替えが効かないことなどについて議論をしていたところだが、本人に対するバインドが強すぎるために、傷害や誘拐など身体的なリスクも考慮しなければいけないということが現実に示された形となった。

バイオメトリクスを用いた認証メカニズムを導入する場合にはユーザ自身の安全が脅かされる結果にならないかよく考えなければならない。

【参考情報】
■Malaysia car thieves steal finger(BBC News)
http://news.bbc.co.uk/2/hi/asia-pacific/4396831.stm

■Man loses car, fingertip(News24.com)
http://www.news24.com/News24/Backpage/Crime_Court/0,,2-1343-1345_1683132,00.html

■Security Risks of Biometrics(Schneier on Security)
http://www.schneier.com/blog/archives/2005/04/security_risks_2.html

■生体認証と二要素認証が疑問視される理由(武田圭史)
http://motivate.jp/archives/2005/03/post_35.html

カテゴリー: 情報セキュリティ タグ:

住基ネットのセキュリティ向上に関する健全な議論について

2005 年 4 月 1 日 コメント 2 件

昨日のエントリー「埼玉県:住基ネットに関しISMSとBS7799の認証を取得」で、

本来重要なのは危険を確認した上でそれをいかに安全な状態に改善していくかというプロセスのはず。

と書いたところ、セキュリティーホールメモの小島さんから、

うーん……。 住基ネットの問題は、1 地方自治体が ISMS 取ったからどうこうというレベルではないような。 全ての地方自治体が ISMS 取る、というのなら話は多少違ってくると思うけど。

・・・

 住基ネットの問題は、「改善」というレベルで対処できるんでしょうか。

という反応をいただいた。また、同様のニュアンスのコメントの投稿もあった。せっかくなので、以前から住基ネットのセキュリティに関して私が感じていたことについて述べてみたい。

住基ネットのセキュリティに関してはこれまでもいくらかの議論が繰り広げられてきたが、賛成・反対に関するプロパガンダに終始し安全確保に関する本質的な議論がないがしろにされている感がある。

原因として、住基ネットの趣旨自体の是非に関する議論と、稼動している住基ネットの安全性を確保するための議論が混同されていることがあるように思う。先のエントリーでは、住基ネットの一利用者である埼玉県が自治体の立場で認証を取得し自らの安全性を向上する努力をしていることを評価したつもりだったが、それに対する反応は住基ネット全体の安全性云々というものだった。以前テレビ等で住基ネットに反対している方々の主張を聞いたときも、セキュリティが危険だという漠然とした問題提起はあるものの、具体的な問題点の指摘や防護策の限界に関する議論がなく物足りなく感じた。

保護すべき情報に対し、どのような脅威やリスクが存在し、具体的にどのように守るかを考えるというセキュリティの世界では普通に行われる取り組みが、「住基ネット」という言葉がついた途端に冷静に行えない状況が生まれているのではないだろうか。そしてその状況があいまいなセキュリティ管理を生み出し、結果的に市民の情報の安全を脅かすことになるのではないだろうか。

稼動中の住基ネットの安全性については、指定情報処理機関によるセキュリティ管理の範囲である基幹部分がこれまで議論の中心とされてきた。多少なりとも情報セキュリティ管理に関わったことのある人物なら、実際の利用の現場となる市区町村の役所等での安全性確保が最大の課題となることはすぐに分かるはずだ。

住基ネットが実際に稼動し市区町村等の端末が接続されている現在、自治体のセキュリティ管理の重要性が高まっているにも関わらず、感情的な議論になってしまうため、本当に必要な対策について考えにくい状況が生まれているのではないだろうか。これにより自治体も腫れ物には触れたくないという体質になり、結果的に市民の情報が危険にさらされるという事態だけは避けたいものである。

【参考情報】
■埼玉県:住基ネットに関しISMSとBS7799の認証を取得(武田圭史)
http://motivate.jp/archives/2005/03/ismsbs7799.html

■2005.03.31(セキュリティホールメモ)
http://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2005/03.html#20050331__juuki

カテゴリー: 情報セキュリティ タグ: