井上孝司の Defense Column
〜 暗号という名の兵器 (後編)
軍事作戦を行なうには、作戦に参加する部隊を指揮・統制するための通信連絡が必要不可欠だ。そして、それを平文でやり取りしていたら、敵に傍受されて内容が筒抜けになってしまい、裏をかかれないとも限らない。だから、メッセージは暗号文でやり取りする必要がある。ということは、逆に敵の通信を傍受して暗号を解読すれば、敵の作戦の裏をかくことができる。また、敵のいるところに適切に兵力を差し向けることができるわけだから、部隊運用が効率的にできる。
また、北朝鮮のように情報非公開の度合が強い国に関しても、通信傍受によって平時から情報を集めておけば、いざ花火が上がったときの対処が、いくらかでもやりやすくなるだろう。
また、もし暗号が解読できなくても、通信トラフィック解析を行ない、誰が誰と通信しているか、その頻度はどうか、といった点を調べるだけでも、一定の成果はある。現に、太平洋戦争中の日米海軍では、これをかなり有効に利用していた。
もちろん、こうした作業で得られるのは「データ」だけだから、それを他の情報源から得られたデータとつき合わせて「インテリジェンス」の形に仕上げるためのプロセスも必要不可欠だが、とにかく「敵の暗号解読」と「自軍の通信保全」は、極めて重要な任務であるはずだ。
そう考えると、暗号技術や通信トラフィック解析というのは、とんでもなく強力な兵器といえる。
と、ここまでは軍事作戦に関する話だったが、インターネットのような公開されているネットワークを使ってビジネス関係の情報がいろいろとやり取りされる時代になってくると、暗号技術、あるいは通信保全や情報の解析、といった技術は、ビジネス界にとっても無視できない話になっている。
また、ネットワークを利用したハイテク犯罪に対する対処の観点からも、こうした技術は重要である。
実際、National Cryptologic Museum のスタッフの口から語られた話題は、最初は第二次世界大戦の話だったのだが、後の方では、ハッカーを使って敵国のコンピュータやネットワークを攻撃する「サイバー戦争」や、麻薬カルテルの「マネー・ロンダリング」、さらにはヤクザの話題にまで波及した。
そこで、私が「中央官庁の Web サイト書き替え事件」やオウム真理教のソフト開発会社問題に言及したら、このスタッフ、ちゃんとこの辺の話も承知していた。さすがである。
最後には、「君の仕事はとても重要だ。情報セキュリティはビジネスでも重要な問題なのだし、この件について、どんどん本を書いて広めなければ」といわれてしまったのには、正直、面映い思いがした。もちろん、ある程度はリップ・サービスかもしれないけれど。
これは完全に余談なのだが、National Cryptologic Museum のスタッフというのは、物腰は穏やかなのだが話の内容は鋭いし、見るからに頭が切れそうな、いかにも情報機関の人間的な雰囲気があった。ひょっとすると、みんな現役の NSA 職員なのかもしれない。 NSA が National Cryptologic Museum を設立した目的として、もちろん NSA 自体の存在と活動を世間に認知してもらおうとする広報活動という側面もあるのだろうが、こうした民間・軍事の両面にわたる「情報セキュリティ」の重要性を訴えるという狙いもあるように感じられた。
実際、博物館で配布されているパンフレットの中には、NSA 自身に関わる内容のものに加えて、暗号技術の基本や過去の暗号戦争に関する資料も豊富にあり、こうした分野に関する知識を広めようとする努力が見られる。また、資料を集めたライブラリもあるので、その筋の研究者には重宝だろう。
現実問題として、個人のレベルでも、情報セキュリティというのは無縁な話題ではない。たとえば、インターネット上の掲示板や電子メールのやり取りの中で、何気なく書いたひとことが元で個人情報が筒抜けになったりしてしまうことを考えると、個人情報保護のために必要な対策を、ひとりひとりが考えなければならない。
最近ではストーカーに狙われたという話が多々あるが、面識のある人に襲われたというケースは別として、いわゆるネットストーカーが相手の場合は、自分が何気なくきっかけを与えてしまったために危機を招いたという事例も少なくないだろう。
どうも、日本人の多くは「安全は誰かが何とかしてくれるものだ」という意識が強くて、ソフトウェアの「個人情報流出」につながるセキュリティ ホールを突き上げる程度の意識しかない人が多い。だが、自分の情報は自分でコントロールするという意識のない無用心なユーザー自身が、実は最大のセキュリティ ホールなのである。
だから、暗号の解読や情報の保全、といった分野に関して、できるだけ正しい認識を持つに越したことはない。たとえば、「SSL を使えば情報が暗号化されるから安全」ということになっているが、これは正確には「実用上は、暗号の解読に時間がかかりすぎるから、短期的には安全」という意味だと正確に理解している人が、どれだけいるだろう。
ナチス・ドイツのエニグマ暗号機だって、ドイツ側では「理論上の鍵の組み合わせは大変な数にのぼるから、これなら解読に時間がかかりすぎるので安全だ」と思っていたのに、運用面の問題や連合軍の総当たり解読等の事情から、結果的に解読されてしまった。このことで分かるように、未来永劫にわたって 100% 解読不可能な暗号システムというものは、存在しない可能性が高い。
同じことは、コンピュータ上の各種暗号システムにもいえるハズだ。特に、コンピュータ・ベースの暗号技術の多くは、アルゴリズムは公開されていて、鍵の長さ (= 総当たりの解読にかかる時間の非現実的な長さ) で安全性を確保しているから、なおさらだ。
だから、暗号化という単一の対策だけでなく、情報の管理や通信解析に対する対策など、総合的な情報保全対策を考えて、実効性のあるセキュリティ ポリシーを策定・運用しなければ、セキュリティのレベルは上がらない。
ビジネス界でも同じことがいえる。「暗号化されているから、インターネットを介して通信しても安全」なのではない。暗号化だけでなく、認証技術も重要だし、だいたい、ビジネスに関わる当事者が口頭、電子メール、あるいは文書などで不用意に情報を漏らさないようにしなければ、いくら暗号化をやったところで意味はない。
コンペティターに関する正確な情報を入手することが勝利につながる秘訣であるというのは、戦争でもビジネスでも変わらないし、個人の安全確保のために情報流出をコントロールすることも、同様に重要だ。このことを、誰もが認識するべきではないだろうか。
強力な "兵器" を作るだけで、国家間の戦争やビジネスに勝てるわけではないのだ。暗号技術に代表されるような、情報の収集と保全という "陰の兵器" も、負けず劣らず重要だという認識を、もう一度、誰もが確認するべきだろう。
最後に先週の記事の訂正をひとつ。
「BOMBE」を開発したのは、アメリカではなくて、イギリスに亡命したポーランド人のグループでした。謹んで訂正します。