クローズドシステムとオープンシステムの違い
21 CFR Part11では、クローズドシステムとオープンシステムを区別している。それはなぜであろうか?
オープンシステムとは、インターネットに接続した環境のことである。
そもそもオープンシステムというものは常時存在していない。クローズドシステムとクローズドシステムをインターネットを介して接続したときのみオープンシステムが発生する。
例えば、AMAZONや楽天のようなネットショッピング、JAL・ANA・JRなどのチケット販売などである。
読者の家庭にあるPCなどはクローズドシステムであり、AMAZONのサーバーもそれ単独ではクローズドシステムである。
PCとサーバーをインターネットで接続した際にオープンシステムが出現するのである。
オープンシステムにおいては盗聴・改ざん・なりすましといった三大リスクが発生する。
Part11がオープンシステムにより厳しい要件を課している所以である。
本稿では、クローズドシステム(閉域網)とオープンシステム(インターネット接続環境)の構造的な違いを整理し、オープンな環境で生じる三大リスク——盗聴・改ざん・なりすまし——がなぜ発生するのかを解説する。そのうえで、それぞれのリスクに対してどのような対策が有効かを示す。
クローズドシステムとは何か
クローズドシステムとは、外部のネットワーク(主にインターネット)から物理的または論理的に切り離された通信環境である。代表的な例が企業の社内LAN(Local Area Network)だ。
社内LANでは、通信はすべて組織が管理するネットワーク機器(スイッチ、ルーター、ファイアウォール等)の内側で完結する。外部との接点が存在しないため、悪意ある第三者がネットワーク上の通信に割り込む機会は、物理的なアクセスを除けばほぼ存在しない。
この「外と繋がっていない」という性質こそが、クローズドシステムの安全性の根拠である。言い換えれば、信頼できる者しか存在しない閉じた空間で通信が行われているという前提が成り立っている。
オープンシステムとは何か
これに対しオープンシステムとは、インターネットを介した通信環境全般を指す。インターネットは世界中の無数のルーターやサーバーによって構成される公共インフラであり、誰もが接続できる開かれたネットワークである。
ここで重要な事実がある。インターネット上でAというコンピュータからBというコンピュータへデータを送る場合、そのデータは第三者が管理する多数の中継装置を経由する。送信者も受信者も、その経路を完全にコントロールすることはできない。
この「経路が制御できない」という構造的特性が、三大リスクの温床となる。
三大リスクの正体
リスク①:盗聴(Eavesdropping)
盗聴とは、通信の途中でデータの内容を第三者に読み取られることである。
社内LANではネットワーク機器が組織の管理下にあるため、通信内容を無断で傍受することは困難である。しかしインターネット上では、中継装置を管理する組織が多岐にわたり、かつその一部が悪意ある者によって制御されている可能性を排除できない。
平文(暗号化されていないテキスト)でデータを送信した場合、その内容はパケットキャプチャ等の技術によって容易に読み取られる恐れがある。かつてHTTPが主流であった時代、IDやパスワードが平文で流れており、盗聴のリスクが深刻な問題であった。
リスク②:改ざん(Tampering)
改ざんとは、送信されたデータの内容が、受信者に届くまでの間に第三者によって書き換えられることである。
クローズドシステムでは通信経路が組織内で完結しているため、外部からデータを書き換えることは極めて困難である。しかしオープンな環境では、中継点においてデータを書き換える中間者攻撃(Man-in-the-Middle Attack、MitM攻撃)が成立しうる。なお、MitM攻撃は改ざんだけでなく、盗聴・なりすましをも同時に実現しうる複合的な攻撃手法であり、三大リスク全体に関わる点を念頭に置いておきたい。
例えば、金融機関への振込指示が途中で書き換えられ、別の口座に送金されるといった被害は、改ざん攻撃の典型例である。データが「正しく届いたか」を検証する仕組みがなければ、受信者は改ざんに気づくことができない。
リスク③:なりすまし(Spoofing / Impersonation)
なりすましとは、通信の相手が「本当に意図した相手かどうか」を確認できない状況を利用した攻撃である。
社内LANでは、通信相手のIPアドレスやMACアドレスが組織内で管理されており、ある程度の同一性確認が可能である。ただしMACアドレスはソフトウェアで偽装(MACスプーフィング)することが可能であり、LAN内でもARPスプーフィング攻撃が成立しうることに注意が必要である。クローズドシステムにおけるセキュリティは、厳格に管理された物理環境での運用が前提となっている点を押さえておくべきである。しかしインターネット上では、送信元のアドレスは技術的に偽装可能であり、「有名企業のサーバー」を装った偽サイトや偽メールを容易に構築できる。
フィッシング詐欺はなりすましの最も身近な例であり、利用者が本物と見分けのつかない偽サイトに誘導され、認証情報を詐取される事案が後を絶たない。
三大リスクへの対策
対策①:暗号化による盗聴対策
盗聴対策の基本は通信内容の暗号化である。現在のWebにおけるHTTPS(HTTP over TLS)はその代表例であり、送受信されるデータをTLSプロトコルで暗号化することで、中継点での傍受を無意味にする。
また、VPN(Virtual Private Network)を利用することで、インターネット上に仮想的な専用回線(トンネル)を構築し、クローズドシステムに近い通信環境を実現することも可能である。
対策②:ハッシュ値・デジタル署名による改ざん検知
データが改ざんされていないことを検証するためには、ハッシュ関数が用いられる。送信前のデータからハッシュ値(データの指紋に相当する固定長の値)を算出し、受信後に同じ計算を行って比較する。値が一致すれば改ざんが行われていないことを確認できる。
さらにデジタル署名を組み合わせることで、「このデータは特定の送信者が作成したものであり、内容が変更されていない」ことを暗号学的に証明することが可能である。
対策③:デジタル証明書・認証基盤によるなりすまし防止
なりすまし対策の核心は、通信相手の正当性を第三者機関が保証する仕組みにある。これを実現するのがPKI(公開鍵基盤)とデジタル証明書である。
信頼できる認証局(CA)が発行したデジタル証明書を持つサーバーは、「本物である」ことが保証される。HTTPSにおいて、ブラウザがサーバーの証明書を検証するのはこのためである。かつてブラウザのURLバーに表示されていた南京錠アイコンはHTTPS接続の証として広く認知されていたが、Google Chromeはバージョン117(2023年9月)以降、このアイコンを設定メニューを示す別の表示に変更した。南京錠アイコンは「HTTPS通信が確立されていること」を示すに過ぎず、「そのサイトが安全・信頼できること」を保証するものではないという誤解を招きやすかったためである。証明書の正当性はアイコンではなく証明書の詳細情報で確認することが望ましい。
クローズドでも油断は禁物
ここまでクローズドシステムの優位性を述べてきたが、一点注意が必要である。クローズドシステムは外部からの攻撃を防ぐ点では優れているが、内部からの脅威(インサイダー脅威)には本質的に無防備である。
組織内の悪意ある関係者、または不注意による内部漏えいは、どれほど堅牢なクローズド環境であっても防ぐことができない。このため、現代のセキュリティ設計では「内側も信頼しない」というゼロトラストアーキテクチャの考え方が広まりつつある。
まとめ
クローズドシステムとオープンシステムの本質的な違いは、「通信経路を誰が管理しているか」にある。社内LANでは組織が経路全体を管理できるのに対し、インターネットでは不特定多数の中継装置を経由するため、盗聴・改ざん・なりすましの三大リスクが構造的に内在する。
しかしながら、これらのリスクはいずれも適切な対策——暗号化、ハッシュ検証・デジタル署名、PKIによる認証——によって大幅に低減可能である。現代のインターネットは、これらの技術を組み合わせることで、安全な通信インフラとして機能している。
重要なのは、「クローズドだから安全」「オープンだから危険」という二項対立で捉えるのではなく、それぞれの環境に潜むリスクを正確に理解し、適切なセキュリティ対策を講じることである。リスクの本質を知ることが、適切な対策の第一歩となる。
