現代はパスワード氾濫社会といっても過言ではない。
昔の忍者映画の「山・谷」とは異なり、現代のパスワード管理は
極めて複雑化してきている。少し説明しよう。「山・谷」の合言葉を
「山・川」と答えてはいけない。
しかし、別の忍者との合言葉には「山・川」を用意していた。
どこの忍者との合言葉だったか…忘れてしまう。
そんなこと忘れるか?と思われる方に質問したい。
「貴方は管理できるかもしれないが、社内のすべての社員が
管理できていると思いますか?」と。
なかなか「イエス」とは答えられないのではないか。
例えば、日頃、業務で使用している複合機にもパスワード管理の
必要性が迫られている。複合機の初期設定のパスワードが
存在することなど普通の人はあまり知らない。
これを知っている人間からすれば、このパスワードを抜き取ることなど
朝飯前だろう。つまり、私たちの身のまわりには、自分たちが
気づかないパスワードが氾濫しているのだ。
使用するサイトやサービスが増えると自然とパスワードが増える。
すべて同じパスワードにしてしまえば覚えるのは楽だ。
しかし、ひとつ漏れれば、すべて漏れるリスクがある。
ひとつのID、パスワードで複数のICT機能やサービスを
利用するシングルサインオンの導入もセキュリティの観点から
認証の一元化によるリスクが指摘されている。
すべてのサイトやサービスで異なるパスワードを設定しておけば、
セキュリティ的には安心できるかもしれない。
しかし、今度はパスワード管理で課題が残る。
パスワードの頻繁な更新は、ミスを誘発する。
どうやって数多くの異なるパスワードを管理すべきなのか?
2012年2月と古い調査ではあるが、株式会社野村総合研究所が
面白い調査内容を発表している。
「生活者と事業者を対象としたIDに関する実態調査」と称し、
パスワード管理の実態についても報告されている。その中で、
「消費者が確実に記憶できると思っているログインIDと
パスワードの組み合わせ数」は3・1個で、2009年と2011年の
2回とも同じ数値である。人間の記憶力ほどあてにならないものはない
証左ともいえるだろう。だから、ついつい、どのサービスも
同じパスワードにしてしまう。
不正ログインが横行する背景には複数サービスで同じパスワードを
使いまわす人が多いからである。そうでなければ、狙う側もパス
ワードリスト攻撃など面倒な手法を選ばない。
例えば、不正に取得したパスワードがひとつのサイトでしか
使用できないとわかっていれば、この攻撃への労力を
考えるはずだ。彼らが労を惜しんでも攻撃に精を出すのは、
ひとつのパスワードで複数のサービスの不正ログインを
成功させられる可能性があるからだろう。
対策としては、パスワードリストを作成し、さらに用途別に
管理も変化させるべきなのだろう。
例えば、金銭に絡むパスワード管理であれば、パスワード更新の
頻度を高めるなどである。
最近では複数のパスワードを管理する便利なツールも登場している。
それらを活用することもひとつの手となるだろう。
しかし、それらも攻撃で破られないとは言いきれない。
すべては可能性の域を出ない。半永久的に安全といえるものは、
現代においては存在しないだろう。
結局のところ、パスワード管理だけに限った話ではないが
「面倒と思われていることを地道に継続する」力こそ、
セキュリティ対策に不可欠な要素ということだ。
攻撃する側の心理を考えてみれば、前出のとおり
ひとつのパスワードを複数のサイトとサービスで
使いまわしている事実があるからこそ、狙いを定められるのである。
つまり、「面倒なことでも地道に継続させる」ことこそ
パスワード管理の大原則である。このことを自分自身だけでなく
組織にも継続させることができるかが成否を分けるはずだ。
余談になるが、中国では日本の大学のサーバーへ
アクセス可能なパスワードがネット上で売買されているという。
そういう時代なのだ。
「たかがパスワード」では済まない社会が訪れているのだ。
――――――――――――――――――――――
(近藤 昇 著 2015年9月30日発刊
『ICTとアナログ力を駆使して中小企業を変革する』
第6章 アナログとICTの境界にリスクあり-パスワード管理、ますます大変 より転載)