【天下布武！】名前を奪いに来た転校生

第４章 防衛

４０３ 認証

　自分の名前を記入(きにゅう)する際、一時間以内に一〇回も連続(れんぞく)して誤記(入力ミス)を繰(く)り返(かえ)すことはあるだろうか？

　難しい質問をされているわけではないのだから、せいぜい五回も猶予(ゆうよ)があれば十分(じゅうぶん)。もしも、それ以上(いじょう)失敗(しっぱい)を繰(く)り返(かえ)すとすれば、十中八九(じっちゅうはっく)、第三者(だいさんしゃ)が悪意(あくい)ある試行(しこう)を行(おこな)っている。

　第三者(だいさんしゃ)であろうと、一致(いっち)するまで試行(しこう)を繰(く)り返(かえ)す総当たり攻撃《ブルートフォースアタック》を行(おこな)えば、いつかは一致(いっち)する。

　それを認識(にんしき)していながら、照合(しょうごう)を無制限(むせいげん)に許容(きょよう)しているとすれば、問題(もんだい)である。

　照合(しょうごう)試行(しこう)回数(かいすう)を制限(せいげん)することは、正当(せいとう)に利用(りよう)している住民(じゅうみん)に、一切(いっさい)影響(えいきょう)が無い防衛手段(ぼうえいしゅだん)である。にもかかわらず、見過(みす)ごす合理的(ごうりてき)な理由(りゆう)は無い。

　では、どのように制限(せいげん)すれば良いのか。

　目的(もくてき)は、悪意(あくい)ある試行(しこう)のみを抑制(よくせい)すること。

　悪意(あくい)あるか否(いな)かの判定条件(はんていじょうけん)は、照合(しょうごう)回数(かいすう)。

　所定(しょてい)回数(かいすう)、照合(しょうごう)に失敗(しっぱい)した場合(ばあい)、照合元(しょうごうもと)住所(ホスト)からの要求(ようきゅう)を、一定時間(いっていじかん)、例えば一時間受け付けないようにする。

　ただ、一定時間(いっていじかん)、照合(しょうごう)要求(ようきゅう)を受け付けないというのは、単に無視(むし)するというだけ。無視(むし)しているだけなので、要求回数(ようきゅうかいすう)が多ければ負荷(ストレス)は掛(か)かる。

　乱波(らっぱ)の思考(しこう)を考えてみよう。

　目的(もくてき)は、照合(しょうごう)に成功(せいこう)すること。達成(たっせい)するには、失敗(しっぱい)すれば試行(しこう)を継続(けいぞく)し、成功(せいこう)すれば試行(しこう)を止めるよう命令(めいれい)すれば良い。

　照合(しょうごう)に対し、応答(おうとう)した後に次(つぎ)の要求(ようきゅう)を投(な)げる仕組(しく)み。

　であれば、悪意(あくい)ある者(もの)の待機時間(たいきじかん)を長くすることにより、要求回数(ようきゅうかいすう)を減らすことが可能(かのう)。

　数回(すうかい)試行(しこう)する度(たび)に待(ま)たされ、応答(おうとう)が著(いちじる)しく遅(おそ)い。

　照合(しょうごう)効率(こうりつ)の悪(わる)さから、試行(しこう)を断念(だんねん)しようと判断(はんだん)させられれば、結果的(けっかてき)に安全性(あんぜんせい)が高まる。

　ただし、これだけでは不十分(ふじゅうぶん)。侵入(しんにゅう)成功(せいこう)確率(かくりつ)が下がるだけで、偶然(ぐうぜん)一致(いっち)すれば侵入(しんにゅう)出来てしまう。

　第二の策(さく)として、MFA(多要素認証)を導入(どうにゅう)可能(かのう)な認証(にんしょう)箇所(かしょ)を全(すべ)て、マイナンバー(ユーザーアカウント)とパスワードに加え、MFAコード(ワンタイムパスワード)を用(もち)いて認証(にんしょう)する方式(ほうしき)に変更(へんこう)する。

　例えば元・担当者(もとたんとうしゃ)等、過去(かこ)には認証(にんしょう)を受(う)ける正当(せいとう)な権限(けんげん)があり、マイナンバー(ユーザーアカウント)とパスワードを知っている人であっても、MFAコード(ワンタイムパスワード)が無ければ認証(にんしょう)出来なくなる。当該時点(とうがいじてん)における部外者(ぶがいしゃ)による侵入(しんにゅう)リスクを排除(はいじょ)出来るメリットが大きい。

　従業員(じゅうぎょういん)用(よう)であろうと、一部(いちぶ)でも簡素(かんそ)な認証(にんしょう)で通過(つうか)可能(かのう)な隙(すき)を残(のこ)せば、そこからの侵入(しんにゅう)を試(こころ)みられるリスクが残(のこ)る。例外無(れいがいな)く全(すべ)てをMFA(多要素認証)に切(き)り替(か)える。

　百戦百勝《ひゃくせんひゃくしょう》は善(ぜん)の善(ぜん)なる者(もの)に非(あら)ず。という名言(めいげん)がある。孫子(そんし)の兵法(へいほう)第三章、謀攻篇(ぼうこうへん)にある、戦わないで勝つことこそが、最もよい作戦であるという考え方。戦(いくさ)には、必ず損害(そんがい)を伴うから、戦(たたか)うことは次善(じぜん)の策(さく)。

　乱波(らっぱ)が勝手(かって)に諦(あきら)めるのならば、それが最善(さいぜん)――実際(じっさい)のところ、自領土(じりょうど)が戦地(せんち)になるから、乱波側(らっぱがわ)に損害(そんがい)は発生(はっせい)しない。こちら側だけに一方的(いっぽうてき)に攻(せ)められる状況(じょうきょう)に至(いた)る。侵攻(しんこう)を許(ゆる)した時点(じてん)で負(ま)けが確定(かくてい)する。

　ルシア帝国が二〇二二年二月二四日に開始(かいし)した、エクライネ共和国への軍事侵攻(ぐんじしんこう)のような状況(じょうきょう)になる。

　だからこそ、侵攻(しんこう)を諦(あきら)めさせられるだけの策(さく)を最優先(さいゆうせん)で講(こう)じなければならない。