「地方公共団体情報システム非機能要件の標準」は、業務アプリケーションの稼働環境のRASIS(信頼性/可用性/保守性/保全性/機密性)のための要件をまとめたものだ。
世間水準のシステム要件の最低ラインになっていく可能性が高いので、旧態以前な表計算で書かれた一覧を眺めているのだが、以前にも増して暗号技術の利用範囲が広くなっている。
1. 通信の暗号化/署名
もっとも広く用いられている技術のSSL/TLSは1995年/1999年に規格がリリースされ、その後、継続的にアップデートされてきた。サーバーとクライアント間の通信は常識になり、近年のブラウザーは非暗号化通信を用いようとすると警告を出してくる。TSLはウェブサーバーとブラウザー間の通信以外にも用いる事ができるため、サーバーとサーバーの通信も暗号化されるようになり、名のあるデータベースマネジメントシステムは何十年も前に対応済みだ。2021年頃にはDNS over TLS(DoT)の対応も進んだ。
VPNも使われるようになって久しい。平文や強度の低い暗号の通信もインターネット等リスクの高いネットワークを安全に通過できるようになっている。1999年にPPTPとL2TP/IPSecの規格がリリースされ、2001年にOpenVPNが公開された。公開鍵暗号と認証局への対応、その他にプロトコルの整理整頓があり、PPTPとL2TPはサポートが打ち切られる方向で(実際にAndroidは2021年に打ち切った)、OpenVPN、IKEv2/IPsec、SSTPなどへのリプレースが進んでいる。
「非機能要件の標準」ではE.6.1.1で、サーバーとクライアント間はもちろん、サーバー間通信でも暗号化を求めている。閉鎖ネットワークでも必須だ。保守を担当するネットワークエンジニアが信用ならない。以前の「地方公共団体における情報セキュリティポリシーに関するガイドライン(令和2年12月版)」ではサーバー間通信への言及は無かった。通信を行う二者以外の第三者となる認証局に公開鍵をサインしてもらう必要があり、オレオレ認証局を立てるか認証局に料金を払わないといけないので煩雑になったのだが、不信社会なのでやむを得ない。
2. ディスク装置(メディア)の暗号化
ディスク装置(メディア)の暗号化も、2000年代から徐々に広まってきた。技術的にはTrueCrypt/VeraCrypt(2004年2月/2013年6月22日), Linux dm-crypt(2005年6月18日に紹介記事), Windows Vista BitLocker(2007年1月30日), MacOS 10.13 High Sierra(2017年9月26日)なので、2010年より前には実用的に使えるようになっていた。ネットワークの盗聴被害はあまり事例を聞かないが、機密情報の入ったノートPCやUSBメモリーの紛失事件はたまに報じられている。(廃棄時に情報の消去を徹底すれば起きないが)廃棄したディスク装置から情報漏えいした事件もあった。珍しいが、サーバーを物理的に強奪する事件などもある。
「地方公共団体における情報セキュリティポリシーに関するガイドライン(令和2年12月版)」でも、職員が外に持ち出すラップトップPCなどへの利用が(必須ではないが)推奨されていた。「非機能要件の標準」では方針が強化され、E.6.1.2.で、サーバー機器のディスク装置の暗号化も要求している。サーバーの負荷はあがるが、設定は初期化のための待ち時間が増えるぐらいだ。なお、稼働中にサーバーにログオンできるデータベースアドミニストレーターや、さらにシステム起動のためにパスワードを知りうるサーバー管理者などの内部のシステムエンジニアの不正は防止できない。
3.「すべてのデータを暗号化」
セキュリティーの強化自体は悪い方針ではないが、「非機能要件の標準」ではぼそっと「すべてのデータを暗号化」と書いてあり、書類をよく読む人の困惑を招いている。費用対効果が悪いだけではなく、融通が効かない事になるからだ。
通信の暗号化は、煩雑なことになる。ICMPパケットを暗号化しようとするとVPNを導入しなければならない。VPNの上をTLSで暗号化した通信を走らせる事になり、TCPの通信を二重に暗号化することになる。二重にしたら二倍安全と言うことはない。TLSを解読できる未知の技術を持つ諜報機関は、VPNも解読できる。TLSで認証する場合、偽サイトに誘導されても偽物だと分かるので、DoTでDNSを暗号化する必要は乏しい。
ディスク暗号化は、ファームウェアの暗号化機能を使う必要が出て来て、ハードウェアベンダーに依存することになる。システム起動時に認証情報を入れる前までに実行するコードは、原理的にOSの機能では暗号化できない。暗号化したまま認証システムのコードは実行できないからだ。一方、認証システムのコードは機密情報ではないし、盗難時に何か仕込まれても再インストールしてから使う運用にしておけば間に合う。ファームウェアの暗号化は要らないのかと言う疑問も出る。デジタル庁も、ファームウェアの暗号化機能を使えとは言っていない。
「(業務アプリケーションで管理しているデータ及び、オペレーティングシステム、ミドルウェア、アプリケーションを制御可能にする)すべてのデータを暗号化」とでも書いてくれたら、効果が乏しい対象は除外できる。デジタル庁もそのように意図していると思うのだが、サボらず書いておいて欲しい。変に生真面目な人が混乱するので。
0 コメント:
コメントを投稿