見出し画像

かなり深刻!?ラプンツェルの塔に潜む脆弱性

はじめに

皆さんこんにちは、駆け出しセキュリティエンジニアの浅羽です。本日も例えて学ぶセキュリティのお時間がやってきました。
前回は白雪姫向けセキュリティ製品紹介を行いましたが、今回はグリム童話の名作、髪長姫ことラプンツェルに例えてセキュリティ教室を開いていこうと思います。
※今回のブログでは原作のグリム童話を題材にしています。 

ラプンツェル塔の脆弱性

むかしむかし、扉のない高い塔の上で暮らしていたラプンツェルと魔法使い。そんな塔の出入りは、「ラプンツェル、ラプンツェル、お前の長い髪を下ろしておくれ」の合言葉と、合言葉を聞いたラプンツェルの下ろす美しい髪をはしご代わりにすることで行っていました。ですが、当のラプンツェルは強固な箱入り娘であったため一度も外に出ることは許されておりませんでした。
 
箱入り娘のラプンツェルでしたが、ある日近所を散歩していた王子が、塔の上で歌うラプンツェルの声に一目ぼれをすることで彼女の人生に転機が。王子は魔法使いの留守を狙ってなんとしてもラプンツェルに会うため、魔法使いの声真似を習得し、合言葉を用いることで塔の侵入に成功します。こっそり侵入した王子とお話をするうちにラプンツェルも王子に恋心を持ちますが、彼女の不意な一言のせいで、魔法使いに王子の存在がバレたことでラプンツェルは砂漠へ追放されてしまいます。
一方その悲報を知った王子はというと、ショックのあまり塔から落ち両目を失明してしまうのでした。

なんということでしょう…(この後ややあって2人は再会できるのですが)
さて、この悲劇の一因は塔の脆弱性にあります。鍵が無く、合言葉1つだけで侵入を許してしまうユルユルな認証。そのうえ、侵入にさえ気付けない管理体制なんて危ないと思いませんか?そう、セキュリティにおいて言語道断です。

■ 脆弱性って?
もろくて弱い性質のこと。セキュリティでは、安全性上の欠陥をさします。

そんなユルユル認証なラプンツェル塔、ここからは箱入り娘保護を目的としたセキュリティ管理にもってこいなソリューションをご紹介していきます。

ラプンツェル塔の現状

本人であることを確認する認証にはたくさんの方法がありますが、大きく分けると3種類の要素があります。以下の図を見てみましょう。

■ 生体認証
指紋や虹彩、音声などの、「ユーザーの身体的特徴に基づく情報」を用いる方法
■ 記憶認証

パスワードや秘密の答えなどの、「ユーザーだけが知っている情報」を用いる方法
■ 所持認証
鍵やICカードなどの、「ユーザーだけの所持物の情報」を用いる方法

このような要素をもって認証を行っているわけですが、最近では単要素認証(1種類の要素で行う認証)は脆弱であるとして、2つ以上の要素を合わせた認証、つまり多要素認証が多く使われています。では、塔の入室にはどういった認証が使われていたのでしょうか?

塔に入る際に魔法使いが使っていた合言葉自体は、記憶認証に該当すると思われます。ただ、簡単なワンフレーズだけでは甘いですね。
(仮に、口に出す合言葉を使用するのであれば「くぁwせdrftgyふじこlp」など、突破されにくい合言葉を使用したほうがよいのかもしれませんね。)

さて、ここまでお話しした中でピンときた方、いらっしゃるのではないでしょうか?
そう、『声真似をすることで塔への侵入に成功します』という内容から、ラプンツェルの塔には音声による生体認証も含まれていることが分かります。
あれ、意外と厳重?と思うところですが、この塔のセキュリティは王子の曲芸(声真似)で難なく突破されてしまうのです。これはなぜなのか。それはラプンツェルのセキュリティ意識の低さが関係しています。
まず、ラプンツェルは声真似をして入ろうとする者が存在する可能性を認識していなかった。また、誰も入れてはいけない(魔法使い以外は悪い奴である)という意識がなかったためです。
魔法使いも、まさか森の奥のドアもない塔に自分以外の訪問者が現れることなんて無いと思っていたのでしょう。現実は厳しいですね。

とはいっても、さらに他の要素を盛り込もうと思っても導入自体難しいと考えられます。扉のない塔にゲートのような設備と、塔の壁のどこかにICカードや虹彩などの読み取り機を設置するのはちょっと難しそうですよね。
そんな物理セキュリティとしては確固たる強度を誇るであろうラプンツェルの塔でしたが、このままでは侵入を許してしまいます。さて、どうすればいいのか?

ラプンツェル塔におすすめのソリューション

ここで登場するのが入退室管理システムセキュリティ教育です。
入退室管理システムは、「いつ」「誰が」「どこに」入退室したかを監視するシステムのことで、怪しいものの入室を検知・記録することが可能です。
塔の側面にカメラを設置し、許可リストとして魔法使いだけを登録すればその他の者の侵入発見した場合に管理者(魔法使い)へリアルタイムでアラートを発報、さらにラプンツェル自身が侵入を誤魔化そうとした場合でもお見通しすることができます🤥
もはやラプンツェル塔のためのシステムと言っても過言ではありませんね。(?)

また、セキュリティ教育はその名の通り、ラプンツェルと魔法使いにセキュリティについての授業を行うことを指します。
魔法使い以外に塔に入ろうとする者がいる可能性や、なりすましを狙ってくる者がいる可能性。また、その対処法や予防法などセキュリティ教育には様々な内容があります。

その中から、ラプンツェルが無事に暮らせるようにするにはどういった意識を付ける必要があるのか。内容を精査しながらベストな授業内容を決めていきます。
セキュリティ整備をどんなに固めても最後は人間の心理が関わってくるため、内部不正を予防するための教育は重要とされています。

最後に

いかがでしたか?
今回の登場したラプンツェル塔のセキュリティは
・合言葉による認証
・音声による認証
の多要素認証がなされていたにもかかわらず、その認証自体が脆弱だったこと。
また、
セキュリティに対する知識不足
が大きな欠点でしたね。

検知と記録の仕組み、正しいセキュリティ知識があれば、少しは脆弱性を補うことができ、2人が恋に落ちる前に魔法使いが見つけることで不幸な結末を辿らなくて済んだのかもしれません。
(…いや、ほぼ幽閉状態のラプンツェル的にはどんな状態であれ最終的に外に出られたのでよかったのかも🦆)

ラプンツェルは最終的に外に出られて良かったですが、現実には私たちの仕事では許されません。ラプンツェルにならって、皆さんの環境にも脆弱性がないか今一度見直してみてはいかがでしょうか。
以上、例えて学ぶセキュリティでした。ご高覧ありがとうございました!

ライター:浅羽