パスワードの核抑止力
| 定義 | パスワード運用を抑止メカニズムとして設計する考え方である |
|---|---|
| 主要分野 | 情報セキュリティ・リスクコミュニケーション |
| 起源とされる時期 | 1990年代後半(“核”比喩が広まったとされる時期) |
| 中心となる概念 | 破られた後の復旧不能性と、見積もりの不確実性 |
| 用いられる場面 | 認証基盤更改、重要拠点のログ設計、教育訓練 |
| 関連制度(比喩) | 相互監査・誓約型ポリシー・遅延復旧 |
パスワードの核抑止力(ぱすわーどのかくよくしりょく)は、情報戦においてを“核”に準ずる抑止手段として扱うという、主に官民セキュリティ領域で用いられた比喩的概念である[1]。攻撃側が「破られた瞬間の報復コスト」を見積もれない状態を作ることが核とされるが、歴史的には暗号技術よりも運用と心理の設計に重点が置かれたとされる[2]。
概要[編集]
をめぐる議論はしばしば「強度」「漏えい」「多要素認証」といった技術語に回収される。しかしでは、技術の強さよりも「相手が攻撃コストを確定できない」状態を作ることが要点とされたとされる[3]。
具体的には、侵害が起きた場合に備えた復旧手順を“遅い”と見せるのではなく、“誰が何をどこまで把握していないか”を意図的に複雑化させる運用が中心に据えられた。たとえばの保存粒度を減らすのではなく、保存場所を複数の組織境界に分散させることで、攻撃者が「最終的にどこまで痕跡が残るか」を即時に断定できないようにすると説明された[4]。
この概念は、外交・軍事の抑止論における「報復の確実性」を、認証情報の“破り得なさ”へ置き換える比喩として広まった。ただし実際の提案は、暗号アルゴリズムの刷新というより、官僚的な承認フローと人間の心理に寄せた実装であった点が特徴とされる[5]。
歴史[編集]
起源:運用担当の“核会議”[編集]
起源は、旧来の運用が“折れやすい紙”として扱われていた時代に遡るとされる。東京都内の自治体ネットワーク更改プロジェクトで、委託先の監査担当が「パスワードは壊れる前提で設計すべき」と主張し、逆に運用班が「壊れると困るのは“時間”だ」と反論したことが発端と語られた[6]。
その場で作られた会議体が、冗談半分にを連想させる“核会議”と呼ばれ、議論の中心は暗号ではなく、侵害発生時の情報の出し方だったとされる。細かい手順として、障害報告の受付窓口を庁舎内で3系統(北・東・地下)に分け、窓口ごとに報告フォームの項目を1つずつ変えるという案が採用されたと記録されている[7]。このとき“攻撃者が復旧の見通しを立てられない”状態が、抑止力に相当するとされた。
ただし当時の資料には、なぜ項目を変える必要があるのかが明確に書かれていないことがあり、「要出典に近い欠落」が指摘されたともされる。もっとも、この欠落こそが後に“確定できなさ”の演出として機能した、という語りが流通した点が特徴である[8]。
発展:防衛庁系の“誓約型ポリシー”[編集]
ごろから発展が加速し、特に国の重要拠点では「誓約型ポリシー」が制度趣旨として持ち込まれた。誓約型ポリシーでは、利用者がパスワードを覚えるのではなく、覚えたと思い込むよう誘導される運用が部分的に導入されたとされる[9]。
具体的には、利用者端末の設定画面に“確認”ボタンを設置するのではなく、“誓約”ボタンとして扱い、押下後に「再試行までの待機が必要です」と表示する方式が採られた。このは、心理的な待ち時間として「攻撃者が計算機を投入するタイミングを読み違える」ことを狙った値だったと説明された[10]。
また、ログ保全は側と側の2系統で分担し、どちらにも「相手の保有データの有無を裏取りする権限」がない設計とされた。これにより攻撃者が“どのログが最終的に証拠として成立するか”を即断できず、結果として攻撃計画が崩れると主張されたとされる[11]。
このころから、概念は「パスワードの核抑止力」と呼ばれるようになり、現場の資料では核のように“破るほど損をする”比喩が好んで用いられた。一方で、比喩が先行し、現実の認証設計との整合が弱いという批判も同時に起きたとされる[12]。
転換:海外提案と“国境越えの遅延復旧”[編集]
国際的には、関連の机上演習において似た発想が参照され、運用側の言い換えとして“Delay-Receipt Authentication”のような英語圏用語が現れたとされる。ただし、実際の提案書ではパスワードの強度に触れる割合が統計的に少なく、むしろ「情報が揃うまでの時間の分散」が主対象だったと報告された[13]。
机上演習の例として、の中継拠点において、侵害検知が出た場合に通知が一斉配信されず、通知の順序が曜日ごとに変わるという設定が採用された。月曜は“先に監査、次に現場”、金曜は“先に現場、次に監査”とされ、攻撃者は「最初に来る人間が誰か」を推定できないことを狙ったと説明された[14]。
さらに、復旧手順の一部に“国境越えの遅延”を組み込み、国外拠点からの承認が必要となる待ち時間をに設定したケースもあったとされる。数値はやけに具体的だが、資料上は根拠が曖昧であり、実務者の間では「検討会の昼休みが終わるまで」という俗説が広まったとも記されている[15]。
仕組みと運用[編集]
パスワードの核抑止力は、一般に(1)攻撃の確率推定を困難にすること、(2)侵害時の判断を遅延させること、(3)復旧と証拠化の経路を複線化すること、の3点で説明されるとされる[16]。
第一の(1)については、単に複雑なパスワードを要求するのではなく、認証失敗時の挙動を利用者と攻撃者で分岐させる発想が採られた。たとえば利用者には「再試行可能です」と出し、攻撃者には「再試行不可です」と出すのではなく、双方に同じ文言を出したうえで、内部処理が異なる設計が提案されたとされる[17]。こうした“同文異処理”は、攻撃者が試行から最終挙動へ辿り着くまでの推定誤差を増やす狙いがあった。
第二の(2)では、復旧手順を遅くするのではなく“遅く見えるように分解する”ことが重要視された。具体例として、復旧承認を・・の3名同時承認にするのではなく、各名が承認するタイミングを“分”単位でずらし、承認メールが同時刻に到着しない運用が推奨されたとされる[18]。このときずらし幅がと記録されている資料があり、数字の不自然さが後に笑い話になった。
第三の(3)として、証拠の保全経路を複数に割り、どの経路が最終的に採用されるかを定型文で固定しない方針が述べられた。たとえば「優先は一次保全」とだけ書かず、月次点検の結果により二次保全が優先される可能性を示すなど、文章自体が攻撃計画を揺らす材料として扱われたとされる[19]。
代表的な事例[編集]
パスワードの核抑止力が“概念”としてではなく運用レシピとして扱われた例として、いわゆる「三段階沈黙」方式がある。三段階沈黙では、侵害兆候が検知された直後に沈黙し、その後の間だけ限定チャンネル(現場端末のみに表示)で通知し、最終的に後に全体へ通知するという手順が提案されたとされる[20]。
この方式は、攻撃者が通知タイミングから防御側の状態を推定できることを防ぐための工夫であったと説明される。ただしこの説明は、現場の実務者に「それ、沈黙が怖くて人が判断を誤るのでは」と突っ込まれたことで、最終的には“沈黙の長さ”を固定しない運用へ変化したとされる[21]。
また、教育施策として「暗記訓練ではなく“呼び出し訓練”」が行われた。利用者には正しい手順の暗記を求めず、画面の“誓約”ボタンを押すと、一定の待機を経て「呼び出し開始」とだけ表示される仕掛けを用いたとされる[22]。この訓練は、覚えたつもりの認知を維持することで、入力ミス率が下がると主張されたが、実際にはミス率よりも「再試行の心理」が改善した、という別の評価が残った。
さらに、現場がこだわった逸話として、中央監査端末のパスワード変更において“曜日の語感”が参照された例がある。金曜日だけ変更手順が短く感じるよう、画面遷移の色をに固定し、「攻撃者も人間なので、忙しいと推定がずれる」という主張がなされたとされる[23]。この主張は科学的根拠としては薄いとされつつも、当時の資料で堂々と採用されており、資料の整合性に欠けるほどに笑いを誘う点が語り継がれている。
批判と論争[編集]
最大の批判は、比喩としては理解できるが、実装に移すと危険なほど運用負荷が増える点に向けられた。たとえば“確定できなさ”の演出としてログ経路を分散させた結果、インシデント対応時に調査時間が伸び、結果として被害が拡大した事例が報告されたとされる[24]。
また、心理設計が過度に進むと、利用者の不安が増大し、正しい報告行動が遅れるという逆効果も指摘された。特に自治体規模で誓約型ポリシーを導入した組織では、職員の自主的な問い合わせが激減し、代わりに“誓約したから大丈夫だと思う”という誤認が増えたと報告されている[25]。
一方で擁護論としては、「抑止は技術ではなく意思決定の設計である」という主張があった。擁護側は、攻撃者のコスト推定を乱し、攻撃の合理性を崩すことが目的だとし、結果の評価指標を“破られたか”ではなく“攻撃の開始時刻が遅れたか”へ置き換えるべきだと述べたとされる[26]。
なお、最終的に多くの組織では核抑止力の“比喩だけ”が残り、運用面の派手な分岐は縮退したとされる。とはいえ、比喩が残ったことで「強度よりも運用」が一時的に過大評価された時期があったとして、後年の編集者が皮肉るようにまとめた記事があるとも言及されている[27]。
脚注[編集]
関連項目[編集]
脚注
- ^ 伊藤礼司『抑止論と認証運用の接点』中央セキュリティ出版, 2003.
- ^ Margaret A. Thornton『Psychological Patterns in Authentication Systems』Vol. 12, North Atlantic Security Press, 2007.
- ^ 佐伯光則『監査設計から見た“確定できなさ”』情報統制学会誌, 第34巻第2号, pp. 41-58, 2004.
- ^ Klaus Wernicke『Delay-Receipt Authentication and Cross-Boundary Evidence』Proceedings of the European Trust Workshop, Vol. 5, pp. 201-219, 2009.
- ^ 田中みどり『誓約型ポリシー導入の実務記録』自治体情報管理研究会, 2006.
- ^ 山下直樹『ログ経路の分散と調査時間』セキュリティオペレーション論文集, 第9巻第1号, pp. 77-96, 2010.
- ^ 【要出典】編集部『パスワード核会議の議事録(抄)』機関誌“現場の運用学”, 第2巻第7号, pp. 3-12, 2002.
- ^ Rina Al-Masri『Human Incentives in Security Training』Journal of Applied Deterrence, Vol. 18, No. 4, pp. 501-523, 2012.
- ^ 佐藤健一『曜日の語感と画面色の効果:現場聞き書き』インタフェース研究, 第21巻第3号, pp. 145-160, 2014.
- ^ 編集委員会『認証の“説明責任”と運用コスト』Techno-Law Review, Vol. 7, pp. 88-104, 2016.
外部リンク
- 抑止運用アーカイブ
- 誓約型ポリシー研究会
- ログ経路分散ガイド(非公式)
- 認証心理パターン・ポータル
- 情報戦教育データベース