前回のAWSのセキュリティに疑問ありという投稿の補足です。
ご存じの方は痛いほどご存知でしょうが、知らない人は痛いほど知らないことに、「暗号化」があります。
そもそもどうして暗号化が知られ渡っていないかと言うと、暗号化は長い間国家機密でしたから当然です。
そりゃそうですね、日本人なら「トラトラトラ」を持ち出すまでもなく、暗号化に関しては痛い目に遭ってきていますから、暗号化に関して日本人は世界でも特にシビアであるはずです。(はずなのですが、そのとおりかどうかは知りません。)
暗号化方式には大きく2つの方式があって、キーペアという2つのキー(秘密鍵と公開鍵)を使う公開鍵方式と、1つの鍵を使う共通鍵方式があります。
1つの鍵を使う共通鍵方式の方が高速なので、WiFiなどは共通鍵を使います。一方端末のログインなどに使うSSHは2つの鍵を使い分ける公開鍵方式を使います。
ということは、SSHでは本人だけが秘密鍵を持つべきだということなのですが、AmazonのクラウドのAWSでは、秘密鍵と公開鍵の両方をAWS上のプログラムで作成するようになっています。
本来、秘密鍵をSSHの相手側が作成するのは、セキュリティ上変な仕様なのですが、キーペアの作成方法を他に持たないユーザーのために、あえてサービスとして用意してくれているのでしょう。
正しい鍵の作り方としては、Puttyなどのスタンドアローンプラグラムを自分で実行して秘密鍵と公開鍵を作成して、公開鍵だけをAWSに設置するのが良いとされています。
確かにSSHの通信の隠匿化という意味ではそれで良いのですが、そんな事を考え始めると、その前に「サーバーのデータは安全なところに保管されているのか?(サーバーの管理者は信頼できる人ですか?)」という疑問が湧いてくるわけです。
何事も仕組みというのが大事でして、その仕組みの塊がクラウドなのですが、肝心のサーバーのセキュリティに関して、AWSは何の対策もされていないように感じます。
「いやっ、実は山ほど対策を施しているが、喋ってしまうとハッキングされるだろ!」と言うことかも知れません。
それならそれを説明して、攻撃の種類と防御した結果ぐらいは公開されるべきだと思うのですが、公開されていないということは対策をしていないか、対策を講じていてもテストをしていないのではないかと考えるのは当然だと思います。
そのような状態の中、デジタル大臣が国家の重要なデータをAWSのクラウドに載せますと宣言しているのですから、文句の1つや2つ出てきそうなものですが、どの野党も、どの評論家も、どの知識人からも音沙汰がありません。
このままで大丈夫だろうか?