2014年04月14日

Heartbleed

先週からHeartbleedというインターネット上の暗号化通信(SSL)における脆弱性(セキュリティ上の不具合)が話題になっています。先週は米国を中心に大きな話題になっており、カナダ政府の税務申告サイトがこの影響でサービス停止に追い込まれました。先週末から今週にかけて、ようやく日本のメディアでも目にするようになってきました。Heartbleedを直訳すると、心臓からの出血ということになりますが、元々HeartBeat(心臓音、心拍)という機能に存在する脆弱性、かつかなり深刻な脆弱性ということで、この命名になっているそうです。

Heartbleedの詳細はJPCERTによる注意喚起などをご参照頂きたいのですが、この脆弱性はOpenSSLというオープンソースのソフトウェアライブラリの特定のバージョンにのみ存在します。ただ、OpenSSLはかなり広く利用されている、かつ、この脆弱性に対する攻撃が容易にできるということで、大騒ぎになっています(実際にこの脆弱性を狙う活動が確認されています)。

弥生のサービスにおいても、この脆弱性が存在しないか確認を行いましたが、幸いにして、存在していないと判断しています(ただ、念には念を入れて再確認しています)。

実は2月にもAppleのiOS(iPhoneやiPad)、OS X(Mac)にも別の種類のSSLに関する脆弱性があるとして、これも騒ぎになりました。Appleのケースも、今回のHeartbleedも、ソフトウェア的にはごくごく単純なミス(ある意味あまりに単純すぎる)です。ただ、SSLという本来は秘密を守るための仕組みがその機能を果たせていないケースがあるということで、大きな問題になっています。

Appleの場合は、iOSや、OS Xのアップデートが必要ということで、ユーザー側での対応が必要になりましたが、今回のHeartbleedの場合には、基本的にはサーバー側での対処が必要になります。ただし、この脆弱性によって、使用していたID/パスワードが盗み見られた可能性があり、この場合には、ID/パスワードを再設定する必要が出てきます。この場合には、サイトから再設定するよう案内があるはずです。

Heartbleedが示すように、インターネットは安全が保障された世界ではありません。ただ、ではインターネットの利用を止めるべき、という極端な結論に飛びつくべきではないと考えています。あまり適切な例えではないかもしれませんが、自動車と同じように考えられるのではないでしょうか。自動車を運転する/利用することには一定のリスクがあります。だからと言って、自動車を利用しない世界に戻るべきでしょうか。もちろん、個人として自動車を運転しない、さらには乗客としても利用しない選択は認められるべきです。インターネットについても、個人として使わないという判断はあるでしょう。ただし、お客さまに対しビジネスを運営する事業者としては、使わないという選択肢は(ほぼ)ないのではないでしょうか。

自動車でもインターネットでも、利用による利便性もあれば、それによるリスクも存在します。そんな中、自動車はT型フォードで大衆化されてから100年以上経つわけですが、近年のエアバッグや最近では自動ブレーキなど、リスクを軽減するための進化がまだまだ続いています。これに比べて、インターネットは広く利用されるようになってからまだ20年程度。その進化は自動車の進化より圧倒的に速いのも事実ですが、まだまだ発展途上です。今回のような問題を乗り越えて徐々に成熟していく必要があります。

インターネットは便利なツール。ただ完璧ではないし、必ずしも安全でもない。無闇に怖がったり、拒絶するのではなく、どういったリスクがあるのかを理解し、キチンと注意して使う。そういった使い手の知恵が要求されているのではないでしょうか。
posted by 岡本浩一郎 at 23:21 | TrackBack(0) | テクノロジー
この記事へのトラックバックURL
http://blog.sakura.ne.jp/tb/93182707
※ブログオーナーが承認したトラックバックのみ表示されます。

この記事へのトラックバック