何かが怪しいセキュアコンピューティング

Bruce Schneier2005年09月21日 21時31分

Trusted Computing Group(TCG)は、より安全なコンピュータ作りを目指す業界団体だ。

 TCGには多数の企業が加盟しているが、理事会はMicrosoft、ソニー、 Advanced Micro Devices(AMD)、Intel、IBM、Sun Microsystems、Hewlett-Packard(HP)の大手7社と、交代で理事会メンバーに選出された小規模な企業2社で構成されている。

 TCGの基本的な目標は、「信頼の根拠」となる「Trusted Platform Module(TPM)」と呼ばれる中核ハードウェアを使って、安全なコンピュータをいちから構築することにある。そうして作られたコンピュータ上では、各アプリケーションは安全に動作し、他のアプリケーションやそのマシンのオーナーと安全にコミュニケーションを取ることが可能だ。また信頼できないアプリケーションは、それらのデータやコードにアクセスできないようになる。

 これは素晴らしいことのように聞こえるが、しかし両刃の剣でもある。たとえば、コンピュータ上でワームやウイルスが実行されるのを防ぐためのシステムによって、ハードウェアやオペレーティングシステム(OS)のベンダーが気に入らないソフトウェアが使えなくなる可能性がある。また、スパイウェアがパソコン内のデータファイルにアクセスするのを阻止するシステムによって、音声/画像ファイルのコピーができなくなる可能性がある。さらに、ユーザーがダウンロードする全てのパッチが本物であることを保証するシステムによって、ほとんど何もできなくなる可能性もある。

 (Ross Andersonはこのトピックに関する素晴らしいFAQを公開している。私は、Microsoftがそのシステムを「Palladium」と呼んだ際に、それについて返事の手紙を書いた)

 TCGは今年5月、「Design, Implementation, and Usage Principles for TPM-Based Platforms(TPMベースのプラットフォームの設計、実装、使用に関する原則)」と題する、ベストプラクティスをまとめた文書を発表した。TCG技術の利用者/導入者向けに作成された同文書の中で、TCGは同技術の良い使用法と悪い使用法を明確に区別しようとしている。

 TCGは以下に列挙した原則こそが、効果的で役に立ち、しかも誰でも受け入れ可能なTCG技術の設計/実装/使用方法の根底にあると考えている。

  • セキュリティ:TCG対応コンポーネントは、指定された重要かつ安全なデータへのアクセスを制御し、システムのセキュリティプロパティの確実な測定/報告を行なわなくてはならない。その報告メカニズムは、完全にオーナーの管理下に置かれなくてはならない。

  • プライバシー:TCG対応コンポーネントは、プライバシーを考慮した上で設計/実装されなくてはならず、また関連する全ての指針、法律、規則の文言や精神に沿っていなくてはならない。その中には、OECD Guidelines(OECDの指針)、Fair Information Practices(公正な情報の取り扱いに関する基準)、European Union Data Protection Directive 95/46/EC(欧州連合のデータ保護指令95/46/EC)が含まれるが、これらに限定されない。

  • 相互運用性:TCG仕様の実装/導入により、相互運用性を促進しなくてはならない。また、TCG仕様を実装/導入する際に、セキュリティ目的以外の相互運用性の障害物を生じさせてはならない。

  • データの移植性:(TCG仕様を)実装する際は、データ所有権の確立された原則と慣行をサポートしなくてはならない。

  • 管理可能性:各オーナーは、自ら所有するTCG対応の各種機能の使用/運用について実効的な選択権/管理権を持たなくてはならない。彼らが参加するか否かはオプトイン(彼ら自身の選択)でなければならない。その後は、全てのユーザーが、オーナーのポリシーを侵害しないような方法でTCG機能を確実に無効化できなくてはならない。

  • 使いやすさ:TCG対応機能は、ハイテクに詳しくないユーザーでも理解しやすく、使用可能であるべきだ。

 この文書に対しては多少の妥当な批判もなされているが、基本的には優れた文書である。私が気に入っているのは、この文書がTCG技術の強制的使用(例えば、デジタル著作権管理(DRM)システムの使用を人々に強制するなど)は妥当ではないと明確に述べている点だ。

  • 強制力を使ってTPM機能の利用を事実上強制するのは、TCG技術の適切な使用ではない。

 私はこの文書がユーザーのプライバシーを保護しようとしている点も気に入っている。

  • TCG対応のコンポーネントを実装する場合には、TCG技術が絶対に個人情報収集という誤った目的に使われないようにしなくてはならない。

 私は、相互運用性の実現がより強く強制されることを望んでいる。しかし、この文言では、企業がセキュリティを口実に相互運用性を遮断できる余地が多分に残されてしまう。

  • さらに、TCG仕様を実装/導入する際に、セキュリティ目的以外の相互運用性の障害物を生じさせてはならない。

 この部分は素晴らしいが、この文中の「セキュリティ」とはどのような意味か。悪意あるコードに対するユーザーのセキュリティを意味するのか。音楽/映像を(違法に)コピーしている人々に対する大手メディア企業のセキュリティを意味するのか。あるいは、競争に対するソフトウェアベンダー各社のセキュリティを意味するのか。TCG技術が抱える大きな問題は、この技術がこれら3つの「セキュリティ」目的を追求するために使用される可能性がある点であり、この文書では「セキュリティ」のより明確な定義付けがなされなくてはならない。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]