セキュリティ用語集
隠すセキュリティ
| 用語の別名 | 秘密主義、Secrecy |
| ジャンル | [語彙] |
| 内容 | 何らかのセキュリティを実現させるシステムにおいて、その仕様や仕組み自体を秘密にすることがセキュリティのレベルを維持する条件になっている状態を指します。つまり、システムを構成している機能の一部または全ての仕組みがブラックボックスになっていて、認証を受けるユーザは自分がどのように認証されているのかを知りません。このような仕組みが漏洩した時点でシステム自体が破綻するため、隠すセキュリティに頼ることは原則として禁忌であるとされています。 「隠す」という意味ではパスワードや鍵も似ていますが、システムからユーザに配布される情報を隠すのと、システムの仕組み自体を隠すのでは意味合いが違います。つまり、前者の場合は配布された情報が漏洩しても、その情報を無効にして使えないようにするだけで対処できます。しかし、後者の場合は仕組みを隠すことによってシステムが成立していたので、システム全体を刷新しなければなりません。最初から「隠すセキュリティ」に頼っていることを謳っているシステムはありませんが、例えば自社開発のアルゴリズムを採用している場合は第三者のチェックに晒されていないことで潜在的な問題点が洗い出されていない可能性が高く、アルゴリズムが公開されていないおかげでたまたま助かっていただけ、というケースも考えられます。ひとつの企業が営利目的で作ったアルゴリズムより、仕様が公開されて広く使用されている標準的なアルゴリズムの方が、良くも悪くも多くの専門家や研究者に触れて洗練されているはずです。セキュリティに関して「独自のシステム」という枕詞は必ずしも売り文句にならないことに注意する必要があります。 |
ネットワークセキュリティ関係者の部屋 > gLOSSARY > 隠すセキュリティ