Video Screencast Help
Security Response

ユニコーンがセキュリティを突破するとき

Created: 25 Jun 2013 10:36:26 GMT • Updated: 25 Jun 2013 10:37:32 GMT • Translations available: English
Candid Wueest's picture
0 0 Votes
Login to vote

先週、紫色のユニコーンがトルコ国境の入国審査所でちょっとした騒動を巻き起こしました(もちろん、本物のユニコーンではなく、ぬいぐるみの話です)。この記事によれば、9 歳の少女とその家族がトルコの国境を越えるとき、少女の本物のパスポートではなく、誤ってぬいぐるみのユニコーンのおもちゃのパスポートを提示してしまいました。ところが、入国審査官はおもちゃのパスポートを確認したうえで、正式にスタンプを押して家族全員を入国させたのです。ここから先は、元記事から逸れた話です。入国管理局の話では、この審査官はただ女の子に優しくしようとして、本物のパスポートにもスタンプを押すのを忘れてしまったのだそうです。何のためらいもなかったので、娘は黙って素通りすることもできただろうと、家族は証言しています。

これは、セキュリティ対策が実装以上の機能を持つことはないということを思い出してもらうための話です。静的な初期化ベクトルで実装された暗号化機能に始まり、パブリック MAC アドレスから導出されるパスワードや、セッション管理が不十分で API を直接呼び出せばすり抜けられる Web アプリケーションまで、セキュリティ技術の歴史を通じて、実装後に深刻なセキュリティホールが出現した例は数多くあります。こうした例では、実装されている製品について正しく考慮していないばかりか、製品が正しく設定されておらず、プロセスに適切に統合されていないため、ログファイルも確認されることはありません。

セキュリティ機能を実装する場合は、必ず正しく実装してください。コーディングの標準に従い、攻撃シナリオを徹底的に繰り返します。セキュリティ製品をインストールする場合は、ニーズに合わせて設定するようにしてください。十分に気をつけて、細かいところまで考慮しないと、紫のユニコーンのエピソードのような展開になってしまうかもしれません。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。