隠ぺいによるセキュリティ(STO)とは?歴史、批判、リスクを解説

アダプティブな多要素認証でデータ漏えい、弱いパスワード、フィッシング攻撃に対抗する方法を解説します。

隠ぺいによるセキュリティ(Security Through Obscurity、STO)という概念は、脆弱性が秘密である(隠ぺいされている)場合、システムの安全を維持できるという考えに基づきます。弱点が何かを攻撃者が知らなければ、それを悪用することはできないということです。裏を返せば、その脆弱性が露呈すると、もはや安全ではなくなります。隠ぺいによるセキュリティは、セュリティシステム全体としてではなく、セキュリティの1つのレイヤーとして使用される場合にのみ有効であると一般的に考えられています。STOは、ITの世界では物議を醸すトピックであり、単独では効果のないセキュリティ対策です。

隠ぺい = 未知

隠ぺいとは、未知であることを意味します。隠ぺいによるセキュリティは、システムに関する知識を秘密にしておくことで、システムを安全に保とうとします。システムの内部メカニズムと動作は、知る必要がある以外は機密にすることで保持されます。コアグループ以外の誰もメカニズム/動作や脆弱性に気付かなければ、システムは安全な状態を維持できます。理論的には機能しますが、人為的なミスの余地が大きくなります。どこかに「ほつれ」があると、システム全体が危険にさらされる可能性があります。

STOの歴史

隠ぺいによるセキュリティという概念には長い歴史があり、初期の反対派は1850年代に遡ります。これは、当時最先端の鍵を開ける方法を公開するという考えに関係するものでした。多くの反対意見がありましたが、侵入しようとしている人々はすでにその方法を知っており、設計の欠陥を暴露しても、実際には攻撃に対してより脆弱になるわけではないという主張がなされました。NSA(米国国家安全保障局)などの政府機関は暗号学者を雇い、その作業を秘密にしていましたが、STOはそういった暗号化技術の伝統的な側面でした。反対に、19世紀末のケルクホフスの原理(Kerckhoffs's Principle)は、暗号システムに関する他のすべてがよく知られていても、鍵が秘密である限り、暗号システムは安全であるという概念です。

アーキテクチャの隠ぺいと手法の隠ぺい

隠ぺいによるセキュリティは、隠された秘密(未知のエンティティ)がシステム全体を「開錠」する鍵であることを意味するという点で、本質的には安全でない概念です。この場合、この鍵を手に入れた敵は、すべてにアクセスできるようになります。手法としては、隠ぺいによるセキュリティは単独で使用すると安全でない概念です。システムのアーキテクチャの一部として、また独立したレイヤーとして使用する場合には、隠ぺいによるセキュリティは効果的なセキュリティ対策になります。たとえば、カモフラージュは便利なセキュリティ対策ですが、向こう側が透けて見えてしまう場合、カモフラージュされたレイヤーの下に追加の保護がない限り、効果がありません。

良い隠ぺいと悪い隠ぺい

資産を保護する唯一の方法としてのSTOはまずい考えですが、他のセキュリティ対策と組み合わせて使用することで便利なツールになる可能性があります。隠ぺいによるセキュリティは、犯罪者や権限のないユーザーによる偵察を困難にします。そもそも認識できないものの脆弱性を悪用するのが困難になります。以下は、隠ぺいによるセキュリティの実例です。

  • ドアを施錠し、鍵を玄関マットの下に隠す。
  • 保護しようとしている資産の周囲におとりの車を配置し、資産がどの車に積まれているかは主要関係者だけが把握している。
  • クローズドソースシステムを使用し、特定の人だけがその仕組みについての知識を持つ。
  • パスワードを紙に書き、コンピューターのキーボードの下に紙を隠す。

優れたSTOは、システムの鍵を見つけにくくすると同時に、鍵が適切に保護されるようにします。

STOに対する批判

IT環境はますます複雑化し、より多くのユーザーがアクセスを必要とするため、「事情に通じた」人が増えています。また、多くの人がシステムの仕組みに関する高度な知識を持つようになり、差し控えられた情報の推測が容易になっています。こうした理由から、STOは、特に主要な/唯一のセキュリティ形態として使用される場合には効果のない方法であると批判されることがあります。また、鍵が発見されてしまうと、STOがシステムを保護する唯一の方法である場合には、システムがオープンになり、攻撃に対して脆弱になります。いったん発見されると、もはや保護は機能しません。また、オープンソースコードが使用されることが多く、また広く利用可能です。米国国立標準技術研究所(NIST)でさえ、ソフトウェアの保護にクローズドソースを使用することを推奨していません。秘密は、単独ではセキュリティと同等にみなされません

単独で使用できるセキュリティ手法ではない

このように、隠ぺいによるセキュリティは、単独では良い概念とは言えません。実際のセキュリティの代わりに秘密を利用するものであり、犯罪者などの何者かがシステムの鍵やトリックを知った場合、システムが安全ではなくなります。隠ぺいによるセキュリティは、他のセキュリティツールや対策と併用することで、優れた補完レベルのセキュリティとなり得ます。システムを保護する唯一の方法として使用すべきではありませんが、鍵を隠して目えなくすることで、保護レイヤーを追加できます。隠ぺいによるセキュリティは、システムがハッキングされたり侵害されたりする確率を下げる役割を果たします。これは、セキュリティ侵害に対する防御を追加する「影響の軽減」とは異なります。総じて、STOは議論の余地のあるトピックであり、適切に使用され、追加の高レベルのセキュリティ対策が講じられた場合に限って、若干のメリットを提供します。

参考文献

Security Through Obscurity (STO). (July 2013). Techopedia.

Kerckhoff’s Principle. (2020). Crypto-IT.

Security Through Obscurity: The Good, The Bad, The Ugly. (May 2020). The Cyber Patch.