質問
90年代以前のセキュリティ機能の実情を教えてください。 |
解答
いいテーマですね。 今のセキュリティの常識は、90年代以前にはほとんど整備されていませんでした。 大きな流れを時代ごとに整理してみます。 1. 1960〜70年代:セキュリティ以前の世界 * 主流は大型コンピュータ(メインフレーム)やタイムシェアリングシステム * 利用者は研究機関や軍、大学などに限られ、利用者間の「信頼」が前提 * セキュリティ対策というよりも 資源管理(誰がCPU時間を使うか) が中心 * アカウントとパスワードは存在したが、暗号化もなく、パスワード管理も杜撰 * 代表例: Multics が当時としては高度なアクセス制御を導入(リングプロテクション) 2. 1980年代:パソコンとネットワークの普及 * パーソナルコンピュータの登場 * IBM PC (1981) や Macintosh (1984) などが出るが、個人利用前提で OSにセキュリティ機能はほぼなし * MS-DOS にはマルチユーザやアクセス制御の概念すらない * LANの普及 * Ethernet や TCP/IP が広がり始める * しかし 通信は暗号化なし(パスワードも平文で送信される) * コンピュータウイルスの誕生 * 1986年:世界初の PC ウイルス「Brain」(フロッピー感染型) * 1988年:Morris Worm がインターネットを混乱させ、初めて「ネットワークワーム」が問題視された 3. 1990年代前半:インターネット黎明期 * UNIX 系 OS がサーバ用途に普及 * すでに `root` 権限やファイルパーミッション、chroot などの基本的アクセス制御は整備済み * しかしユーザの知識不足から誤設定が多発 * 暗号化はまだ特殊 * SSL/TLS は 1994〜1995 頃に登場(Netscape が実装) * それ以前のWebはすべて平文通信 * メールセキュリティは未整備 * SMTP は認証なし、暗号化なし * スパムやメールなりすましが横行し始める * ファイアウォールの登場 * 企業ネットワークで「外と内を分ける」発想が生まれる(チェックポイント社の製品など) * ウイルス対策ソフトの商用化 * Symantec や McAfee が一般家庭に広まり始める 4. 特徴まとめ * 90年代以前のセキュリティ機能は「ほぼゼロか、非常に初歩的」 * 暗号化通信 → ほぼ存在しない * ユーザ認証 → 単純なパスワードのみ、強度チェックなし * ネットワーク → ファイアウォール概念が登場するのは90年代前半 * ウイルス対策 → 1980年代後半に登場、1990年代に普及 * 「信頼された環境」を前提に設計されていた * 研究者・技術者だけが使う前提だったため、悪用者を想定していなかった 5. 今とのギャップ * 今は 暗号化・多要素認証・侵入検知・自動アップデート が当たり前 * 当時は 「外部攻撃者がいる」こと自体が想定外だった |
 |
|
この記事へのコメント