ネットの暗号に「2010年問題」が存在するという。2000年問題以降(1999年のノストラダムスの大予言などというものもあった)、20XX問題と名付けるのが好みのような風潮ではある。最近世間では騒がしくなってきている地デジ移行などはさしづめ「テレビの2011年問題」とでも言えばよいのだろうか。結局これらは大山鳴動して鼠一匹というケースが多いのだが、果たして暗号についての問題とは何なのだろうか。

「暗号の2010年問題」は、日本の携帯電話に大きな影響？(INTERNET Watch)
間近に迫る「暗号の2010年問題」、企業が取るべき対応は？(Enterprize Watch)

　暗号は時代の進歩とともに絶対的なものではないということは、なんとなく認識はできる。もっとも問題なのはユーザよりは、サービスを提供する側の意識である。銀行キャッシュカードの4桁の暗証番号が未だに現役で、やっと指紋認証に移行しだしたなどはその典型で、長かった不況の影響で銀行が末端のユーザなどのことを考えていられないという態度がありありだったようなものである。ネットバンキングも進歩してきている一方で、銀行がこれだけノンビリしていられたのもATMなどのサービスはネットに比べれば、まだローカルのサービスにすぎないからだとも言えるだろう。
　それに比べてネットのセキュリティの綻びは、システムの脆弱性であれ人間のミスであれ、その影響があっというまに広がってしまうから、技術的な防御も先手先手で打っていかなければならないかららしい。

　さてネット上ではインフラとして公開鍵暗号と共通鍵暗号が使われるが、それは強固な暗号を採用するに越したことはない。原理的にはすべて公開鍵暗号の方がそれは安全には違いないが、そうするとパフォーマンスの面で格段と落ちることになる。DESとかの共通鍵暗号の限界ばかり今更議論したところで、それはわかりきった話ではある。より複雑にした3DESにしろ苦し紛れの策に過ぎないからである。SSLにしろ見かけは公開鍵方式だが、それは最初の認証と証明書発行までで、通信が確立されてしまえば内容のやりとりは共通鍵方式でやっているはずである。ブラウザではIE6が危険ということは、暗号に限らず脆弱性はよく言われてきたことなので、使い続けることはMicrosoftの責任というよりは自己責任の方が大きいことになるだろう。

　しかしもともと暗号が標準で使われるようになってきた頃(せいぜい10年以内)は、安全性とパフォーマンスはバーターだったわけで、CPUや常駐メモリの関係があった。ハードの進歩とともに強固な暗号を採用することが現実的になりえたわけである。無線LANでのWEPからWPAへの移行は暗号化が脆弱で影響が出やすい典型例だったわけであろう。

　また少しでも認証のパフォーマンスを上げるために暗号の認証部分を、ハードウェア機器にに組み込んでしまうということが考えられた。ソフトウェアで認証しているのならば、アップグレードするだけかWebサービス提供側がサーバーで切り替えるだけでよいが、故障しているわけでもないハードウェアだとなかなか交換するわけにはいかない。これが最大の2010年問題なのだろう。これは2桁の年数表示しかなかった機器が2000年になると00にリセットされて誤動作すると懸念された2000年問題に近い話だといえるだろう。

　もっともユーザには直接はあまり関係のない話かとも思える。サーバー運用やクラウドサービスを展開する側にとって古い機器を引きずる際の問題になるだろうし、セキュリティは暗号の問題だけではない。ユーザにとってはクレジットカードやATMカードの安全性や振り込め詐欺などのフィッシングに対する防御策がより切実かもしれない。