Entry № 1111
隠蔽によるセキュリティ(Security by Obscurity)
隠蔽によるセキュリティ(Security by Obscurity) とは何ですか?
隠蔽によるセキュリティ(Security by Obscurity)システムの設計・実装・所在を秘密にすること自体を主たる防御策とし、本質的な強度に依拠しないアプローチ。
隠蔽によるセキュリティは、攻撃者が仕組み・場所・アルゴリズムを知らないかぎり成功しないという前提に立ちます。1883 年の Kerckhoffs の原則はこれを否定し、鍵以外がすべて公開されても安全であることを暗号系に求めます。隠した管理 URL、自社製独自暗号、非公開ポート、リブランディングによる「安全化」は、スキャナーや情報漏えい、リバースエンジニアリング、内部者の前で容易に崩れます。NIST と ISO は、隠蔽はあくまで多層防御の補助層、攻撃者にわずかなコストを上乗せするだけの位置づけで、強い認証・認証付き暗号・ハードニング・監視・パッチ運用の代替にはなり得ないとしています。
● 例
- 01
管理画面を /supersecret-admin に隠す一方で認証は弱いまま。
- 02
AES-GCM を使わず自前の "独自暗号" を実装する。
● よくある質問
隠蔽によるセキュリティ(Security by Obscurity) とは何ですか?
システムの設計・実装・所在を秘密にすること自体を主たる防御策とし、本質的な強度に依拠しないアプローチ。 サイバーセキュリティの コンプライアンスとフレームワーク カテゴリに属します。
隠蔽によるセキュリティ(Security by Obscurity) とはどういう意味ですか?
システムの設計・実装・所在を秘密にすること自体を主たる防御策とし、本質的な強度に依拠しないアプローチ。
隠蔽によるセキュリティ(Security by Obscurity) からどのように防御しますか?
隠蔽によるセキュリティ(Security by Obscurity) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。