トップページへ PASSJ ブログへ
トップページへ
分科会
特集!
コミュニケーション
資格
セミナー・コンファレンス
インフォメーション



セキュリティ ボードリーダー:河端 善博
毎月第2、第4木曜日はボードリーダーからのレポートを掲載いたします。
 
   

2002年3月13日
『電子証明書を見直してみませんか ?』


通勤途中、梅がすこしづつ、ひらこうとしています。いやぁ、春ですね。
株価は低迷し、国際情勢も予断を許しませんが、平和で暖かな春がおとずれるよう祈っています。

・電子証明書を見直してみませんか ?

 今回、電子証明書を話題にしました。
 BtoB, BtoC, 電子政府、暗号化、電子署名と、電子証明書は、セキュリティの重要なキーとなっています。しかし、意外と、電子証明書の運用に関連するポイントが抑えられていないのではないでしょうか ?

 たとえば、電子証明書の盗難対策をしていますか ?
 サーバーにいれる Webサーバーの電子証明書は、管理者であれば、秘密キーつきでエクスポートすることができます。つまり、サーバーに不正アクセスされた場合、盗まれる可能性があります。悪意のあるシステム管理者が持ち出す可能性もあります。さらに、盗まれたかどうかの判断はとても難しいもの  です。

 同様に、電子メールの電子署名や暗号化に使う電子証明書は、クライアントコンピュータに入っていますが、持ち出される可能性があります。

 電子証明書を盗まれないためには、SmartCard や HSM (Hardware Security Module) といった専用のハードウェアとの併用が必要です。

 次に、お使いの電子証明書を失効するときの手順は確認できていますでしょうか ? 通常は、電子証明書を発行した認証局に申請すれば失効することができますね。では、失効した電子証明書が利用された場合、警告がでるようになっていますか ?Internet Explorer, Outlook Express の失効確認オプションはデオォルトで無効になっています !

 そもそも、お使いの電子証明書は、失効しているか確認できる情報をもっていますか ? 電子証明書に CRL の情報があるかどうかを確認してください。CRL 項目には、通常、失効情報一覧への URL が記載されています。もし、電子証明書に CRL がない場合、あなたが失効申請しても、利用者には確認  できません。

 セキュリティ分科会メーリングリストでは、こういった問題を話題にしてい  ます。SQL Server セキュリティとは直接関係ありませんが、Web, 業務システムを開発、運用する上で、電子証明書への理解は必須です。ぜひ、疑問点  を相談していければと思います。

・事件をわが身に当てはめて考えてみませんか?

 ふたつの事件をとりあげて、意見をいただきました。

 - 3 / 1 (土) に発生した東京航空交通管制部のトラブル
 - 記事: ネットバンキング不正アクセス

 いずれも、わが身に振り返って考えてみると、考えさせられる事件です。

 東京航空交通管制部のトラブルは、次の点を問題にしました。
  問題1. FDP が二台同時にダウンした。
  問題2. バージョンアップ時の確認漏れであった。
  問題3. 影響の大きさ。
  問題4. 告知体制

 ネットバンキングの事件では、次の警告を考えました。
  「自分が管理しているコンピュータ以外から、
   パスワードを入力することは、絶対しないでください」
  「知人のコンピュータ、インターネットカフェなど、
   安全が保障されないコンピュータでは、
   簡単に、あなたが入力したパスワードを
   盗むことができます」

 一般向けにマスコミから流される情報だけを見ていると、自分に関係のないことに思えます。しかし、自社、自分の組織、あるいは客先に当てはめてみると、問題点が浮上してきます。

   システムの安定した運用とセキュリティ対策は、OS, SQL Server の機能といった部分、部分の対策だけでは不十分であり、社会の変化やニーズに合わせて対応していく必要があると思います。

 ぜひ、意見を交換できればと思います。

・文字列をエスケープする技

 クエリー文中の文字列を効果的にエスケープする方法について紹介させていただきました。元ネタは、Microsoft MVP のコミュニティからいただきました。

 select * from names where name = '山本'

 とする代わりに、

 select * from names where name = 0x715C2C67

 とすることができます。
 ユーザーからの入力を元にクエリーをつくる場合、一般にシングルクォートを二重化にすることが推薦されています。
  ' -> ''
 しかし、Unicode を利用しているため、日本語英語以外の言語コード領域で、思わぬ問題が発生するかもしれません。その点、16進数に変換してから、クエリーをつくれば、確実です。

 詳しくは、メーリングリストをご参照いただければと思います。

さて、いよいよ Windows Server 2003, VS.NET 2003 がリリースされますね。
SQL Server の新バージョンはまだ先のようですが、マイクロソフトに改善要 望するのは、いまです。また、セミナー、ワークショップをみなさんのお力を お借りして増やしていこうとしています。ストリーミングにも取り組みます。
春先、なにかと体調を崩しやすいかと思いますが、COOL にいきましょう。




ボードリーダーレポート トップページへ

 
 
PASSJメールニュース 著作権ついて プライバシーポリシー リンクポリシー お問い合わせ
(C) 2005 Professional Association for SQL Server Japan. All rights reserved.