2010-12-28
■[event]KCCSの「クラウド利用者必見!新春 情報セキュリティソリューションセミナー」で講演します 
KCCSの情報セキュリティのセミナーでしゃべることになりました。テーマはクラウド利用のセキュリティについてです。
クラウドのセキュリティというと、文字通り雲をつかむような話になりがちですが、できるだけ明確なお話ができるように準備したいと思います。
# たとえば、クラウドに対する脆弱性診断ってできるの? みたいな疑問にお答えします
日時:2011年1月28日(金曜日) 14時30分〜17時20分
場所:KCCS東京支社(東京都港区)最寄り駅は泉岳寺
費用:無料
プログラム詳細、お申し込みはこちら https://www.kccs.co.jp/news/events/110128.html
購入: 5人 クリック: 202回
2010-12-21
■[wasbook]初稿を完成しレビュアーさんに送付しました 
本を書いています。昨日ようやく全ての章の初稿を書き上げ、レビューアの皆様に最後の初稿を送付しています。現在は、レビューの結果を反映した第2稿に着手しています。最初の方に書いた章・節は、かなり手直しが必要で、まだ時間が掛かりそうです。
というわけで、当初計画では、今頃は書店に並んでなければならないのですが、今は、今期中になんとか出さないと、というところです。
当初は、こういうことを書いていたわけですが、
入門的な内容になる予定ですので、私のブログの読者が期待するような、マニアックな内容にはならないと思います
http://d.hatena.ne.jp/ockeghem/20100528/p1
できあがった初稿を見るに、「入門的な内容」というよりは、むしろ「基礎的な内容」をみっちり書いたという感じかなと、思っております。入門的と基礎的のニュアンスの違いは、まぁ本が出てからのお楽しみということで。
とはいえ、初心者の方が楽しめるように、できるだけ手を動かせるようにしておりますので、ご期待を。
2010-12-09
■続パスワードの定期変更は神話なのか 
2008年2月に パスワードの定期変更は「神話」なのか? - ockeghem(徳丸浩)の日記を書いた時の反応は、賛否両論という感じだったが、その後、twitterでのつぶやきなどを見るに、「パスワードは定期変更しなくてもいいんじゃない?」という意見は、セキュリティの専門家にも多くなっているような印象を受けている。
そのよう状況の中、以下の記事を読んだ。
辞書攻撃がうまくいかない場合、クラッカーは総攻撃(ブルートフォース攻撃とも言います)を仕掛けます。【中略】仮に1秒間に1000万回の計算ができるとすれば、パスワードのクラックに要する時間は1年にもなりません。どんなに強固なパスワードであっても、1年ももたないということになります。だからこそ、3カ月に1回とか半年に1回はパスワードを変更する必要があるのです。(2ページ目より引用)
http://www.itmedia.co.jp/enterprise/articles/1012/07/news010.html
面白い。1年間でパスワードが破られるという条件(1年で全てのパスワードのパターンを試行できる)下で、パスワードを半年に1度、あるいは3ヶ月に1度変更すると、パスワードはどの程度「破られにくく」なるのか計算で求めてみよう。
まず、半年に1回変更するケース。半年では全てのパスワードパターンの半分を試しているわけだから、最初の半年でパスワードが破られる確率は0.5、破られない確率も0.5。一年を通じてパスワードが破られない確率は、0.5 * 0.5 = 0.25。すなわち、一年間のうちにパスワードが破られる確率は 0.75 となる。
3ヶ月に1度ならどうか。3ヶ月でパスワードが「破られない」確率は0.75だから、1年間パスワードが破られない確率は 0.75の4乗だ。
0.75 ^ 4 = 0.3164
すなわち、一年間でパスワードが破られない破られる確率は、1 - 0.3164 で約 0.68 となる。
つまり、パスワードを3ヶ月毎に変更しても、68%の確率で破られるのだ。これで「安全になる」と言えるのだろうか。
ついでに、究極の定期変更として、ワンタイムパスワードだったらどうか。ものすごく安全性は高まるのだろうか。
ワンタイムトークンなどては、よく6桁の数値がワンタイムパスワードとして表示される。このパターンで計算してみよう。6桁整数のワンタイムパスワードを100万回試すという想定だ。一回あたりの試行で「破られない」確率は、1 - 1/100万 = 0.999999、それが100万回破られない確率には、
0.999999 ^ 1000000 = 0.3679
すなわち、100万回の試行でパスワードが破られる確率は、約 0.63 となる。
どんなに頻繁にパスワードを変更しても、パスワード変更による効果というのはこの程度なのだ。簡単に言えば、100%の確率を60〜70%に減らす程度の効果しかない。こんなあやふやなものに認証を頼るわけにはいかない。
では、なにが悪かったかというと、「全てのパスワードを試行できる」という前提がおかしい。この条件で安全性を保つ方法はない。
どうすればよいか。その答えは二つ。
どちらも、パスワードの定期変更に掛かるコストよりもずっと簡単で効果が明確だ。
パスワードの定期変更が必要という主張は、いったん疑った方がよいだろう。意味がある場合もあるが、それは特殊なケースだけだ。
本を書いています。認証についても一生懸命書いています。出るのは来年になりそうで、もうしばらくお待ちください。
2010-10-18
■講演予告3題 
twitterで次のようにつぶやいたところ
PHPカンファレンスでやった文字コードの話を再演できる適当な場はないかな。まぁ、本書きで忙しい(はず and/or べき)ので、やりたいような、やらない方がいいような…とつぶやいてみる
http://twitter.com/#!/ockeghem/status/25955951747
ECナビの春山さん @haruyama と、セキュmemoの小島先生 @kjmkjm が反応してくださり、東京と京都で勉強会を開催することになりました。
東京の「第1回神泉セキュリティ勉強会」では、春山さんや、サイボウズラボの奥さん @kazuho 、竹迫さん @takesako にもお話し頂きますので、私自身とても楽しみです。
京都の「@random な勉強会」では、なんと京大の上原先生 @tetsutalow が、「岡崎図書館事件に見る自治体IT調達の問題点」という演題で講演されます。私も、LASDECのウェブ健康診断の仕様策定をお手伝いした関係などで自治体のIT調達には関心がありますので、楽しみです。
あと、Internet Week 2010で講演することになりましたのでお知らせします。。
第1回神泉セキュリティ勉強会
日時: 2010/10/26(火) 19:00〜
場所: 株式会社ECナビ
参加費用: 無料
プログラム、申し込みはこちら
@random な勉強会
日時: 2010.10.30 (土) 13:00〜17:00
場所: 龍谷大学深草学舎 21 号館 406 室。
参加費用: 500円 (学生は無料)
プログラム、申し込みはこちら
Internet Week 2010
日時: 2010年11月24日(水) 13:00〜15:30
場所: 富士ソフト アキバプラザ
タイトル: S3 今日こそわかる、安全なWebアプリの作り方2010
5,000円の有料セッションです。
2.5時間の枠がありますので、Webアプリセキュリティの全体像をおさらいした後、以下の3テーマに深く切り込む予定です。
・文字コードの問題
2010-09-22
■PHPカンファレンス テックデイにて講演します 
PHPカンファレンス2010のテックデイ講演公募枠に応募して採用となりましたので、講演することになりました。9月25日(土)蒲田の大田区産業プラザ PiOです。詳細は、講演プログラムをご覧ください。
タイトルは、「[T-6]文字コードに起因する脆弱性とその対策」ということで、現在の文字コードのセキュリティのレビュー的な講演になります。専門家の方には目新しい話題はないかと思いますが、現状のまとめとしてお聞きいただければと思います。
講演の目玉として、「文字コードに起因する脆弱性のデモ6連発」を実演する予定です。
PHPカンファレンスですので全てのデモをPHPで記述したかったのですが、PHPでは再現しにくいものもあり、4つがPHP、2つがJavaによる記述です。
これさえ聴けば、あなたも文字コードセキュリティ通になれる…かもしれない…というわけでご期待ください。
カンファレンス申し込みはこちらから
「そもそも」が通じない場合を想定した、一重、二重の防御を行うか、行わないか、を、それぞれ判断すべきだと思います。
このような話題で一番怖いのは「そもそも」を理解せずに、パスワードは変更する必要がないんだ。と、誤った理解が広まってしまうことかと。
もちろんPCIDSSなどでの義務付けはやりすぎだと思いますが。
次の同じ長さの期間Bにパスワードが破られない確率が同じ x になるわけではありません。
どうやるんでしょうか。
変更したことにより、今まで辞書に載ってなかったものが、辞書にある
パスワードになってしまうことってないんでしょうか。