RNG(乱数生成器)の選定と実装におけるセキュリティチェックリスト
現代のITシステムにおいて、乱数はセキュリティの根幹を支える不可欠な要素です。暗号鍵の生成、セッションIDの発行、ワンタイムパスワード(OTP)、ソルトの生成など、あらゆる場所で利用されています。しかし、乱数の品質が低い場合、攻撃者は予測可能なパターンを突くことで、暗号化を無効化したり、認証を突破したりすることが可能です。本稿では、エンジニアが安全なアプリケーションを設計・運用するために必要な「RNG(Random Number Generator)確認リスト」を網羅的に解説します。
RNGの分類と基礎知識
セキュリティの文脈で乱数を語る際、最も重要な分類は「暗号論的擬似乱数生成器(CSPRNG)」と「非暗号論的擬似乱数生成器(PRNG)」の区別です。
1. 非暗号論的PRNG(例: 標準ライブラリのrand()など)
線形合同法(LCG)やメルセンヌ・ツイスタ(MT19937)などが該当します。これらは計算速度が速く、統計的な分布は非常に優れていますが、過去の出力から内部状態を予測可能であるため、セキュリティ用途には一切使用してはなりません。
2. 暗号論的擬似乱数生成器(CSPRNG)
予測不可能性(Unpredictability)とバックトラッキング耐性が保証された生成器です。OSが提供するエントロピー源(/dev/urandomやBCryptGenRandomなど)をシードとして利用し、暗号学的ハッシュ関数やブロック暗号を組み合わせて生成されます。
セキュリティ確認リスト:実装チェック項目
システムに乱数を組み込む際、以下の項目を一つずつ確認してください。
1. 予測可能性の排除:標準的な言語の rand() 関数を使っていないか?
2. エントロピー源の信頼性:OSが提供する安全なAPIを利用しているか?
3. シードの固定:デバッグ時などで乱数のシードを固定したまま本番環境にデプロイしていないか?
4. 乱数の用途と適切なアルゴリズムの選択:用途に応じて、適切なビット長と生成器を選択しているか?
5. 乱数生成器の枯渇対策:高負荷時にエントロピーが枯渇し、ブロックや低品質な乱数が出力されるリスクを考慮しているか?
サンプルコード:安全な乱数生成の実装例
多くのプログラミング言語では、セキュリティ用途のAPIが標準で用意されています。これらを正しく使用することが最も重要です。
// Go言語での安全な乱数生成例
package main
import (
"crypto/rand"
"encoding/binary"
"fmt"
"math/big"
)
func generateSecureRandom() {
// 1. crypto/rand パッケージを使用する(CSPRNG)
// math/rand は絶対に避けること
n, err := rand.Int(rand.Reader, big.NewInt(1000000))
if err != nil {
panic(err)
}
fmt.Printf("セキュアな乱数: %v\n", n)
}
// Pythonでの安全な乱数生成例
import secrets
def get_secure_token():
# 2. secrets モジュールを使用する
# これは暗号論的に強力な乱数を生成する
return secrets.token_hex(16)
実務アドバイス:設計と運用の勘所
現場での設計において、以下の3つの観点を重視してください。
第一に「ライブラリの選定」です。言語の標準ライブラリには、必ず「Crypto」や「Secure」といったキーワードが含まれるモジュールが存在します。既存のコードベースで `math.random` や `random.random` を見つけた場合、それはリファクタリングの対象です。
第二に「シード管理の禁止」です。かつては独自のシード値を生成して乱数生成器を初期化する手法が一般的でしたが、現代ではOSのエントロピーソースを信頼し、OSのAPIに任せるのがベストプラクティスです。独自にシードを管理しようとすると、往々にしてエントロピー不足やシードの衝突を招きます。
第三に「テストの限界」です。乱数生成器の品質を単体テストで確認することは困難です。統計的な検定(NIST SP 800-22など)は非常に専門的であり、アプリケーションコードに組み込むものではありません。実装時には「どのAPIを選択したか」という論理的な正当性を担保することに注力してください。
乱数生成におけるアンチパターン
よくある失敗として、現在の時刻(Unix timestamp)をシードとして使用するケースが挙げられます。時刻は攻撃者から予測可能であり、同一ミリ秒に複数回生成された場合に乱数が衝突するリスクがあります。また、GUIDやUUID(バージョン4以外)をセキュリティ用途に流用することも避けるべきです。UUID v4は乱数を含みますが、生成器の品質が実装に依存するため、重要な暗号鍵生成には直接利用せず、CSPRNGから生成したバイト列をベースにすべきです。
まとめ
乱数生成はITセキュリティにおける「見えない基盤」です。一度実装してしまえば目に見える不具合は発生しませんが、その品質がシステムの堅牢性を左右します。
本稿で紹介した確認リストを再掲します。
– 非暗号論的PRNGをセキュリティ用途に使っていないか?
– OS提供のCSPRNG APIを使用しているか?
– シードの固定や予測可能な値の利用を避けているか?
これらの原則を徹底し、常に最新の言語仕様やセキュリティガイドラインに従うことで、予測不能な強固なシステムを構築することが可能です。エンジニアとして、「乱数は予測不可能であること」という当然の前提を、技術的に保証し続ける責任を負う必要があります。安全なアプリケーション開発の第一歩として、今日から自身のコードにある「Random」という文字列をすべて検索し、それが適切な生成器に紐付いているかを確認してください。
コメント