CSIG所属のMatsumoto Asakaです。
今回は、親しみやすい題材でITについて解説するコーナーと題して、アドベントカレンダー初参加の著者がお送りする「サンタワールド」をお楽しみください。
サンタの国を動かす裏システムとは
皆さんはなぜ毎年、あなたにプレゼントが届くのか疑問に思ったことはありませんか?
世界中の子供に
- 間違えず
- 盗まれず
- なりすまされず
プレゼントが届く
実は、サンタの国は「プレゼントを正しい子どもに届ける」巨大なオペレーションを有しており、認証認可システム が裏で支えてくれています!というわけで...coming soonなクリスマスにちなんで、難解な "IAM / 認証認可" の世界を サンタの国 を用いて説明してみたいと思います🎄
登場人物
実は、皆さんご存じないかもしれませんが、昨今サンタの国でも労働力が不足しています。従来活躍していたたくさんのトナカイや小人は激減しており、代わりに人型クローンが製造されています。これにナンバーが振られ、零号機, EVE初号機, 弐号機, 3号機, 4号機...と続き現在14体のクローンで運営されているのが現状です。
上記の "登場人物" にあたるものが「ユーザー」です。
業務上の役割と行動指針
サンタの国では、従来の世界観を崩さぬよう下記の役割と行動指針が定められています。人型クローンたちは、素の姿だと子供たちに怖がられてしまうため、この役割に該当する着ぐるみを着て業務にあたります。
| 役割 | 行動指針 |
|---|---|
| サンタ | すべての権限を持つ存在、すべての意思決定を行うことができる |
| トナカイ | 配送はできるが、作業工房には立ち入れない |
| 小人 | 製造はできるが、配送先は決められない |
上記の "役割" にあたるものが「ロール」であり、"行動指針" にあたるものが「ポリシー」です。
権限コントロールセンター
このセンターは、サンタの国の身分証発行所であり、「本人確認(認証)」と「行動許可(認可)」を一元管理しています。ここでは、「あなたは誰ですか?」という質問と「あなたにはXXという行為を許可します」という処理をしてもらう必要があります。間違って、偽サンタが子供たちに接触しては危害を加えるかもしれないですし、故障のあるクローンがトナカイ役だと途中で遭難しかねないからです。この仕組みを一般的に、IAM(Identity Access Management)といいます。誰が/どの立場で/何をしてよいかを管理する仕組みで、サンタの国の治安維持機構として機能します。
ユーザー:人型クローン1~14機
ロール:サンタ役、トナカイ役、小人役
ポリシー:行動指針
認証/認可
「あなたは誰なの?」を確認するのが認証
「あなたはどんなことができるの?」を確認するのが認可
セットで語られることが多く混同されがちですが、問われている内容は全く別物です。昨今のクラウド環境(AWS/GCP)では一般的に IAM(Identity Access Management)と呼ばれ、ここで権限の設計および付与を行います。
認証の強化の必要性
外部からブラックサンタが侵入するとサンタの国の製造ラインが停止して子供たちにプレゼントを届けられなくなったり、手先の器用な5号機が脚の速い初号機と間違われたらその後の役割引き受けの際に想定されたオペレーションを回せなくなってしまうかもしれません。サンタの国における本人確認は特に強化する必要があります。
ex. Kerberos認証の利用
サンタの国では特殊な方式(プロトコル)を利用し、認証を強化しています。この方式では、チケットを発行し、そのチケットの保有者であれば本人であるとみなしています。こうすることで、毎回パスワードを口頭で伝える必要がなく、盗み聞きのリスクが減らせます。その昔、人型クローンが導入される以前はNTLM認証を利用していました。仕様としては、パスワードのハッシュ値を使って「パスワードそのもの」を口頭で伝えずに正当性を証明する方式(チャレンジ・レスポンㇲ方式)です。しかし、サンタの国のハイテク化に伴い、その脆弱性が明らかになり今では非推奨となりました。MS公式_CVE-2025-24054
ex. 静脈認証の導入
どれだけ認証を強化しても、IDカードやチケット(所有物)だけでは、それを盗まれたり、精巧に偽造されたりするリスクが残ります。特に、サンタの国のクローンたちは皆同じ顔をしており、着ぐるみを着てしまえば外見での判別は不可能です。そこで導入されたのが静脈認証です。クローンたちは、重要施設(プレゼントの最終検品所など)に入る際、装置に手をかざします。見た目が同じでも、体内の「静脈パターン」は個体ごとに唯一無二のものです。
生体認証
「持っているもの」や「知っていること」ではなく、指紋、顔、静脈といった「その人自身の身体的特徴」を使って本人確認を行う方式
サンタの国では、「何かを知っている(知識)」「何かを持っている(所持)」に、この「その人自身である(生体)」を組み合わせた多要素認証(MFA)によって、鉄壁の守りを築いているのです。
認可の強化の必要性
本人確認(認証)がどれだけ厳格でも、「ログインできた後に何ができるか」が適切に制御されていなければ意味がありません。例えば、
- 「トナカイがプレゼント工房の設計図を見られる」
- 「小人が配送先リストを書き換えられる」
といった状態は、事故や不正の温床になります。
そのためサンタの国では、「誰が・どの役割で・どの操作をしてよいか」を事前に細かく定義し、それ以外の操作はすべて拒否します。これはシステムの都合ではなく、業務内容に基づいて設計されるべきものです。認可設計を誤ると、どれだけ立派な認証基盤を作っても、現場では「怖くて使えない」「結局全員管理者」といった状態に陥ってしまいます。
ex. RBAC(ロールベースアクセス制御)の導入
「誰が・どの役割で・どの操作をしてよいか」を事前に細かく定義しておくことをRBACといいます。「ユーザー」に権限を与えるのではなく、「役割」に権限を与えるという考え方です。
ex. 最小権限の原則の徹底
「業務に必要なギリギリの権限だけを与え、それ以外はすべて禁止(Deny)する」という鉄則です。それぞれできることが決まっている前提で、必要な役割に必要な権限が与えられている状態を指します。
よくある事件
■ プレゼント横取り事件(NTLMリレー攻撃)
大掛かりなプレゼントを製造する工房に入るには、ナゾナゾに答える必要があります。トナカイは工房に入ることができないので、サンタの「ナゾナゾ」を小人に横流ししました。小人はなんのナゾナゾか分からず腕試しとして「答え」を渡してしまいました。結果、トナカイは工房に入ることができ、家の中を荒らされてしまいました。
■ 無限サンタ増殖事件(ゴールデンチケット攻撃)
認証をつかさどる「秘密の鍵(KRBTGTアカウントのハッシュ)」が盗まれてしまいました。すると攻撃者は、「有効期限100年の最強サンタパスポート(TGT)」を勝手に量産し始めます。こうなると最悪の場合、パスワードを変えても防げず、最悪の場合、サンタの国を焼き払って作り直す(ドメイン再構築)必要が出てきてしまいます。
■ 忘れ去られたクローンの反乱(休眠アカウントの悪用)
廃棄処分待ちで倉庫の奥に放置されていた「旧型クローン(退職者アカウント)」。権限が剥奪されずに残っていたため、そこを踏み台にして侵入され、工場のラインを止められてしまいました。
サンタの国に潜む脅威
サンタの国で起きる事件は、偶然ではありません。実は多くが、セキュリティ設計でよく使われる STRIDEモデル で説明できます。STRIDEとは、システムに対する代表的な脅威を6つに分類した考え方です。ここではサンタの国で実際に起こりうる事件として見てみましょう。
| 脅威 | 起こりうる事件 |
|---|---|
| Spoofing(なりすまし) | ブラックサンタが正規サンタのふりをしてトナカイに指示を出し、本来とは違う子供の家にプレゼントをばら撒いてしまいました |
| Tampering(改ざん) | 小人が子どもの欲しいものリストを書き換え、本来ぬいぐるみが欲しかった子供にチェーンソーが届いてしまいました |
| Repudiation(否認) | 工房の設定が変更されたのに、ログが残っておらず「誰が・いつ・何をしたのか」が分かりません。ようやく目星がつきましたが、「僕はやってない」と否認され、立件できませんでした |
| Information Disclosure(情報漏えい) | 子供たちの個人情報(配送先リストや欲しいもの情報)が流出し、ブラックサンタに悪用されてしまいました |
| Denial of Service(サービス拒否) | 大量の偽リクエストや内部妨害により、製造ラインが停止してしまいました。クリスマスに間に合いません |
| Elevation of Privilege(権限昇格) | 本来は製造しかできない小人が、いつの間にかトナカイ権限を乗っ取り、配送ルートを変更してしまいました。最終的には全権限を掌握し邪悪なサンタとして王座に君臨してしまう可能性があります |
STRIDEで整理すると分かる通り、これらの事件の多くは 「IAM設計の甘さ」 が原因になっていそうです。
認証が弱ければ → Spoofing
認可が曖昧なら → Tampering / Elevation
ログがなければ → Repudiation
こうしてみると、IAM設計とは「サンタの国の治安維持システムそのもの」であるような気がしますね。
おわりに
サンタの国の話はファンタジーですが、現実の企業システムでも本質は同じです。
- 認証は「本人確認」
- 認可は「業務ルールを踏まえたアクセス制御」
- IAM設計は「アーキテクチャ設計」と「運用設計」両方がそろって機能する
技術だけ先に作っても、業務や責任範囲が整理されていなければ運用は回りません。
サンタの国が毎年無事にプレゼントを届けられるのは、裏側で「見えないルール」が正しく設計されているからなのです。
<参考文献>
Wikipedia-エヴァンゲリオン (架空の兵器)
STRIDE model
認証と認可
NTLMリレー攻撃
Kerberos認証-1
Kerberos認証-2