「パスワードも覚えられない社員は危機意識低すぎ!」でネット炎上 専門家に管理のコツを聞いた
会社のパソコンや銀行、アマゾンや楽天などの通販サイトに個人のスマートフォン...... 日常生活ではいくつものパスワードを使うが、全部覚えている人はどれだけいるだろうか。そのうえ、会社のセキュリティー担当から「定期的なパスワード変更」の指示が入ると......
インターネットで、「パスワードを覚えられない危機意識の低い社員が多いことに唖然とする」と、セキュリティ担当者の怒りの投稿が炎上ぎみの騒ぎを起こしている。「何様のつもり」「やり過ぎ」という批判だけでない。じつは最近、「パスワードの変更は不要」という潮流になっているというのだ。
何回もパスワードを変更するのは古い、変えないのが最近の潮流
話題のきっかけは、女性向けサイト「発言小町」(2018年3月11日付)への投稿。会社の情報システム部門でセキュリティ対策のマネージメントをしているという人が、セキュリティ強化のため、「3か月に1回だったパスワード変更を1か月に1回にする」と伝えたところ、社員から不満の声があがった。そればかりか、社員の中には2つのパスワードを使い回して交互変更している者もいて、「社員のセキュリティ感覚の低さは病気としか言えないレベルだ」と、悲憤慷慨した。
社員がパスワードを3回間違えるとログインできない設定にしているが、パスワードを忘れてパソコンの初期化を頼みにくる者が後を絶たない。「彼らは『紙に書かないように言われた決まりを守ったからだ』などと言い訳をし、私に逆ギレの態度だ。どうしたら社員の危機意識を正常にできるだろうか」とアドバイスを求めたのだった。
この投稿に、「社員の危機意識なんてどこでもそんなもの。そこを社員に負担をかけずに安全策を講じるのがセキュリティ担当者の仕事ではないか」と、猛反発する声が大半。
たとえば、「あなたはシステムのお守りが仕事かもしれないが、社員はそうではない。毎月パスワードを変えさせれば、どこかに記録しておかないと忘れるのがふつうだ。パスワードを覚えさせることに執着せずに、他のもっとユーザーに優しい認証方法を検討すべきだ。カード認証や指紋認証、顔認証、それらを合わせた二要素認証などいろいろある」。
また、「何回もパスワードを変更する方法は古い。最近はパスワードを変更しなくてもいい風に変わっている」と、投稿者のセキュリティ担当としての「資質」に疑問を投げかける人も多くいた。
なかには、「投稿者は力を入れるところを間違えている。2017年に米国国立標準技術研究所(NIST)が出したガイドラインでは、パスワードの定期的な変更はしないほうがいい旨が記されている。日本でも内閣サーバーセキュリティセンター(NISC)や総務省からも同様のことが言われている。パスワードを数字やアルファベットの大文字小文字を組み合わせた複雑なものにする。そして定期的な変更はせず、流出時は速やかに変更するのが最近の流れだ」と、専門家のような指摘もあった。
専門家に聞く「自分にしかわからない複雑なパスワードを作る」
さらに、その複雑で他人にはわからないパスワードの作り方と覚え方についてはこんなアドバイスがあった。
「たとえば『5m16YK2』。5歳でマリちゃんに片思い、16歳でヨシコさんと付き合い、その後結婚して2児に恵まれた。これなら自分にしかわからず、覚えやすいでしょう」
確かに総務省は2017年11月、ログインなどに使うパスワードの管理の方針を「定期的に変更すべき」から「定期的な変更は不要」に変えた。同省ホームページの「国民のための情報セキュリティサイト 安心してインターネットを使うために」の中には、こう書いてある。
「実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出したりした事実がなければ、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化して簡単なものになることや、使い回しをするようになることのほうが問題となります」
パスワードを安全に管理保存するオススメ無料ソフト
さて、勤め先やわが家のパソコン、スマホなどでパスワードをいくつも使い分け、どうやって覚えるかなどセキュリティに悩んでいる人も多いだろう。
J‐CASTニュース会社ウォッチ編集部では、パスワードの管理の仕方を専門家に、さらに聞いた。
―― このシステム担当者の、セキュリティの方法に問題はありますか?
専門家「情報セキュリティの理想は、社員の利便性を損なうことなく、セキュリティを高めることですが、そのためには専用のアプリケーションやシステム導入などコスト面での投資が必要になります。投稿者の企業の規模やコストなどはわかりませんが、コストをかけずにやれることとしてパスワードの変更期間を短くするという対応をしています。一概にパスワードのルールといっても、さまざまありますが、パスワードの使い回し自体をシステム側で制限しておくことや、パスワードの入力規則を指定することで安全性の高いパスワード設定を求めることはできます。それをやらず、ただ単にパスワードの変更期間のみを短くしたので社員に負担がかかっています。また3回間違えればロックアウトというもの厳しすぎます」
―― 最近は「パスワードの変更は不要」といいます。変わったのはなぜですか?
専門家「必ずしも、まったく変えないほうがいいという訳ではないですが、そんなに効果がないというのが正確です。アルファベットの小文字・大文字・数字を組み合わせ、複雑なパスワードにすれば、たとえば8桁の英数字合計36種類で、約2兆8000億通りの組み合わせになります。物理的に総当たりでパスワードを突破することは不可能に近くなります。パスワードを何度も変更すると、家で使っているパスワードを会社でも使い回したりして、逆に突破されるリスクが高まることも考えられます。企業であれば、情報システム担当者が対策をとることができますが、自宅でマルウェア(悪意を持って作成されたソフトウェア)化したソフト『キーロガー』に感染していた場合、キーボード操作をすべて読み取られ、特定の文字列が繰り返し使われることから、IDやパスワードが読み取られることもあります。『パスワードリスト攻撃』といって、そうした個人もしくは企業から漏えいしたIDとパスワードのリストを使って不正アクセスが行われるケースもあります」
―― ということは、小文字や大文字、数字を組み合わせ、ケタ数が多いパスワードをいくつか作り、用途に応じて使い分けることが大事なわけですね。しかし、メモに残さずに記憶するのは大変です。
専門家「全部を記憶することは現実問題として難しいですね。ただ、パスワードのメモをディスプレイなど他人の目に触れる場所に貼ったりすることはもちろんですが、パスワードをパソコン内にテキストなどで保存しておくことも問題です。それよりは手帳にメモ書きして、絶対に他人の目に触れない場所に置いたり、施錠できる場所に保管したりするだけでも十分です。ただ、今回の投稿者への回答にあった通り、パスワードに頼らずに生体認証やICカードを利用することやワンタイムキーなどの二段階認証を導入したほうがセキュリティは向上しますが、相応のコストはかかりますね。有名なIDとパスワードを管理する無料のソフトで『ID Manager(高木健一/WoodenSoldier)』があります。これは暗号化して保存しますし、長く複雑なパスワードや多くのパスワードを管理しなければならない場合でも管理できますから、安心です。オススメで、私も使っています」