2007/04/10
【信頼されるSEへの道 第28号】セキュリティ監査とポリシー(4)
■□■□■□■□■□■□■□■□■□■□■□■□■□■□■□■□■□■□ ┌───────────────────────────── 2007.4.10 │ │ 信頼されるSEへの道 〜成長し続けるために〜 第28号 │ │ http://blog.livedoor.jp/brave33/ │ │ メルマガインデックス−過去のメルマガ一覧 │ ⇒ http://blog.livedoor.jp/brave33/archives/50529551.html └────────────────────────────────── ■□■□■□■□■□■□■□■□■□■□■□■□■□■□■□■□■□■□ こんにちは、MICK です。 3週にわたり近年のセキュリティ傾向の変化とその対策、アプリの実装 コンセプトなどについてお伝えしました。 【第25号】セキュリティ監査とポリシー(1) 2007.03.20 →http://blog.mag2.com/m/log/0000208094/108366980.html 【第26号】セキュリティ監査とポリシー(2) 2007.03.27 →http://blog.mag2.com/m/log/0000208094/108390534.html 【第27号】セキュリティ監査とポリシー(3) 2007.04.03 →http://blog.mag2.com/m/log/0000208094/108415095.html 今回は閑話を織り交ぜながら、銀行オンライン系に代表される 「ソフトウエアキーボード」「ソースが閲覧しにくい画面制御」などの機能 についてとそこに至った過程について考えたいと思います。 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ <PR> 転職希望、自分の市場価値を知りたい方に朗報です!! 「信頼されるSEへの道」が自信をもって、エージェントを推薦します ⇒ http://blog.mag2.com/m/log/0000208094/107875439.html ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 【信頼されるSEへの道 第28号】セキュリティ監査とポリシー(4) ●ソフトウエアキーボードがなぜ実装されるようになったのか? まず、この話をする前に日本の銀行業界の近年の動向を考えておく必要が あります。 預金者保護、ペイオフといった動きが近年の大きな事柄ですが、この預金者 保護自体がことの発端と言ってもいいのではないでしょうか? ●預金者保護、、、以前は? もともと、ネットオンラインのダイレクトやカードを使った銀行システムの 預金者保護なんてあってないようなものでした。 4桁の番号を盗み見て、その人のカードを手に入れれば、いくらでも自由に 引き出せてしまう。。。これは今もほとんどがそうですけどね。 ネットダイレクトでは、キーロガーなる手法で無防備なパソコンから、 ID/パスワードを取り出しました。 また、フィッシング詐欺という偽装サイトやメールを用いて、ID/パスワード を入力させる方法なども現れました。 国内に限らず、そのときの被害は想像以上に大きいものでしたが、日本の 銀行は当初、自分たちのせいではない、預金者本人らが気をつけること、 という態度を貫きました。 もちろん世論の反撃は厳しく、結局、国は法制化を余儀なくされました。 結果、預金者に確実に大きな過失がない限り、銀行側が補償する義務を 負うことになりました。 ●自分たちに直接影響するものの動きは早い いくら縦割りと批判される銀行業でも、優秀な人材が揃っていることに 変わりはなく、指示があったときは、迅速にこなす人材は揃っています。 つまり、預金者がお金をなくすときには消極的だった動きが、自分たちが お金をなくすことになるかもしれない、という立場にまわってはじめて 本来の技術革新へとつながったのです。 確かに技術的にはどれも、すでに誰もが知っているものだったでしょう。 ただし、それを一般ユーザに使わせるためには、安定性や使い勝手、 アプリとしての軽さなど、いくつも克服すべき課題があるのも事実です。 それでも自分たちの懐には変えられないので、動きは早くなります。 追い込まれたときこそ、新しいものが生まれ、成長していくのですね。 例えは悪いですが、戦争の技術革新に近い気もしますね。 ●こうして 銀行ICカードが生まれ、、、 こうして、銀行ICカードに指紋認証が搭載されたり、引落し/送金額が 1日あたり、50万円までに設定されたり、窓口確認が強化されたり、、、 といった動きになっていったのです。 ●ソフトウエアキーボードがなぜ実装されるようになったのか? そして、ソフトウエアも例外ではありませんでした。 では、ソフトウエアキーボードがなぜ実装されるようになったのか? これも実は先ほどのキーロガーやボット感染といった事情があります。 一時期、そのサイトを使う前にウィルスの感染状態を無料でチェックした のちに、サイトにログインできるというようなサービスもありました。 これは一時、韓国で非常に流行りました。 一回そのページにアクセスすると、常駐して、ウィルス感染してないか などをチェックしてくれるわけです。 それでも、ウィルス対策ソフトやパーソナルファイアウォールを停止 したり、偽装したり、普段はハイバネート(休止冬眠)するボットも 現れたりと、いたちごっこが続きました。 そこで、考えられたのが、ソフトウエアキーボードだったわけです。 画面のキーストロークまで奪われるのだから、ソフトウエアキーボード にして、キー信号を暗号化、キーボード配置もランダムにし、マウスで クリックさせたらどうか? つまり、感染していても、パスワードを盗みにくくしたのです。 この効果は絶大で、このソフトウエアキーボードから情報が盗まれたという 話は聞きません。 ただし、キー配列がランダムでないソフトウエアキーボードも使われて います。 頻度は低いと思われますが、ボットはマウスの動作情報も取得することが できるため、キー配置がランダムでない場合は座標とクリック情報で 入力が特定できてしまいます。 ●なぜ、ソースが閲覧しにくいのか? ソースが閲覧しにくい、ファンクションキーが使えない、 銀行ダイレクトでは、これでもかという制御が掛かっている場合が あります。 画面のソースそのものも、ハードディスク上に残さないようにし、 システム間のやりとりのURLやパラメータも何も見えないように します。 新しくWindowをオープンする際、通常Window名をつけるのですが、 それさえもランダムに発行して、XSSやURL偽装なども防ごうとします。 これらのセキュリティ強化は、ヒントや情報を与えたりしないため、 攻撃を受けないため、こうした方法を取っているのです。 どれも一長一短ですが、現在のトレンドではURL偽装の関係で、 ユーザにアクセスしているURLは見せるべきとの指摘もあります。 ただ、全てのサイトでこのレベルにしてしまうと、使いにくく、 ショッピングサイトでこんなのだったら、使いにくくてユーザはどんどん 離れていくでしょう。 ●セキュリティの指針を作る前に 上記で出てきましたようにセキュリティは守るべきものがあるから、対策が 取られるのです。 また、セキュリティは便利さやコストと相反するものとも言われます。 それは企業利益に対して、リスクが高ければ高いほど、セキュリティの強度 が上がるという特徴を見れば明らかでしょう。 もちろん、評判やイメージというものも企業の大きなリスクとなります。 最近、各企業ごとにセキュリティ指針を策定していますが、何をどのレベル で守るのかを最初に明示する必要があります。 それによって、仕組みやお金の掛け方が変わってくるためです。 ただ単に、セキュリティ対策はこうすべきの前に、 ・どのデータを何のために守っているのか? ・どのくらい手間を掛けてもいいのか? ・漏洩したときの被害は? といった基本的な考えも忘れないようにしたいところですね。 ●終わりに 今回は「セキュリティ監査とポリシー(4)」と題して、銀行オンライン系の 進化にみる内容をもとにセキュリティの指針について、お届けしました。 4回にわたってお届けしましたが、全体を通して、お伝えすることや考え方 として、多面性をもつことが大事と考えていました。 セキュリティオーディタ的な目線と上流開発的な目線とで話しましたので、 どちらかというと難しい話が多かったと思います。 ですので、かなり短かめに話をまとめたり、要点だけを絞ってお伝えしま したので、ところどころ、分かりにくいところがあったかと思います。 また、専門用語も多めでしたので、ググッたりしながら、読んでくださった 方も結構多かったのでは、と思います。 何かぴんとくるようなことがありましたら、読み返していただき、知識を 整理するお役にたてれば、と思います。 次回は、新入社員が入ってくる時期ということもあり 「オフショアとSEマインド」 について、お伝えしたいと考えてます。 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ご感想やご希望などありましたら、以下までメールください。 なにぶん忙しいので、全てに返信はできないかもしれませんが、 全てのメールに目を通すようにします。 ブログを準備しましたので気軽にコメントをお寄せください。 ※セミナー講師、新人研修の講師、コンサルティング依頼などについても、 以下までメールでお願いします。 ⇒ メールアドレス: info@yscre.com ⇒ ブログ: http://blog.livedoor.jp/brave33/ ⇒ メルマガインデックス: http://blog.livedoor.jp/brave33/archives/50529551.html ⇒ 登録・解除はこちら http://www.mag2.com/m/0000208094.html SEの方々にとっても、できるだけ役に立つ情報をお届けします。 ご友人や仕事仲間の方にも、ご紹介いただけたら、と思います。 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ メルマガインデックス−過去のメルマガ一覧 ⇒ http://blog.livedoor.jp/brave33/archives/50529551.html 【第1号】技術系SEの勘違い 2006.09.19 【第2号】本当に必要な新人教育 2006.09.26 【第3号】新人のときにおかれる環境 2006.10.03 【第4号】SEの常識?社会人の常識? 2006.10.10 【第5号】信頼される上司 2006.10.17 【第6号】もう一つの組織 2006.10.24 【第7号】積極的な思考 2006.10.31 【第8号】メンバー同士の行き違い 2006.11.07 【第9号】プロジェクトのチェックポイント(1) 2006.11.14 【第10号】プロジェクトのチェックポイント(2) 2006.11.21 【第11号】プロジェクトのチェックポイント(3) 2006.11.28 【第12号】プロジェクトのチェックポイント(4) 2006.12.05 【第13号】プロジェクトのチェックポイント(5) 2006.12.12 【第14号】デバッグの方法・考え方 2006.12.19 【第15号】一年を振り返る 2006.12.26 【第16号】要件定義の重要性 2007.01.09 【第17号】要件定義から要求開発へ 2007.01.16 【第18号】要求開発−要求の分類方法 2007.01.30 【第19号】要求開発−各要求の関係 2007.02.06 【第20号】アジャイルに見る理想の開発(1) 2007.02.13 【第21号】アジャイルに見る理想の開発(2) 2007.02.20 【第22号】信頼できるパートナー(1) 2007.02.27 【第23号】信頼できるパートナー(2) 2007.03.06 【第24号】Network World Conference 2007 Spring 2007.03.13 【第25号】セキュリティ監査とポリシー(1) 2007.03.20 【第26号】セキュリティ監査とポリシー(2) 2007.03.27 【第27号】セキュリティ監査とポリシー(3) 2007.04.03 【第28号】セキュリティ監査とポリシー(4) 2007.04.10 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ <お薦め書籍> 豆蔵セミナーライブオンテキスト(1) わかるオブジェクト指向 (単行本) 山田 隆太 (著) →http://www.amazon.co.jp/gp/product/4774124605/000jp-22 要求開発−価値ある要求を導き出すプロセスとモデリング 山岸 耕二 (著), 安井 昌男 (著), 萩本 順三 (著), 河野 正幸 (著), 野田 伊佐夫 (著), 平鍋 健児 (著), 細川 努 (著), 依田 智夫 (著), [要求開発アライアンス] →http://www.amazon.co.jp/gp/product/4822282686/000jp-22 NYPD No.1ネゴシエーター最強の交渉術 ドミニク・J. ミシーノ (著), ジム デフェリス (著), 木下 真裕子 (翻訳) →http://www.amazon.co.jp/gp/product/4894511851/000jp-22 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 日本一キーストロークの短いアドレス!! ↓アドレスを短く簡単にします。↓ ⇒ http://000.jp/ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ .
