パスワード、管理できていますか?
最初は皆さんにも身近な問題、「パスワード」に関して取り上げたいと思います。ところで、みなさんの企業の中にはパスワードに関するポリシーがどのように作られているでしょうか。おそらく、よくあるルールはこんなものでしょう。
- パスワードは8文字以上で、英数字だけでなく記号、大文字小文字を混在させてください
- パスワードは1カ月に1回変更してください(期限が切れたら強制的に変更画面に遷移します)
- パスワードを付せん紙に書いて貼るなんて言語道断です
実はセキュリティに携わるエンジニアの間では、このパスワード談義は非常に引きの強いトピックだったりします。「定期的なパスワード管理なんて意味がない」「覚えられないほどの長さを強制しても、結局覚えられないのは当たり前」「むしろ手帳に強固な長いパスワードをメモする方がよっぽど安全」……。これらの意見、間違っているとは思えません。
ちょっと視点を変えましょう。会社の外のIT世界も同じようにパスワードを使って、ログインをさせ、サービスを提供しています。会社の中のITと同じ問題があるはずですが、むしろ無料で、一般向けに作られたサービスのほうが進んでいるような気がします。
例えば、会社の外のサービスでは、「二要素認証」が取り入れられています。現在ではFacebookやYahoo!、Google、Dropboxなどが二要素認証に対応しており、日本ではまだ利用できませんが、アメリカではTwitterやApple IDも二要素認証を取り入れ始めました。
この二要素認証とは、ユーザーIDとパスワードのみではログインが完了せず、登録された携帯電話へSMS/メール/音声通話によって送られるワンタイムパスワードが必要となるもので、万が一パスワードが外部に漏れたとしても、登録されたデバイスがなければログインできないというものです。パスワードとデバイスの2つの要素を認証に使うから、二要素認証なのですね。
さらに、一般のWebサイトであれば、さまざまなパスワード管理ツールが利用可能です。KeyPassや1Passwordが有名ですが、これがあれば強固な、それこそ20文字を超えるようなパスワードであっても1クリックで入力が可能です。
会社の外の便利な機能、会社の中でも使えるようになればいいのに……
二要素認証/多要素認証は、ICカード認証や静脈認証や網膜認証などの形で、展示会などのイベントではそれこそ10年以上前からもてはやされている分野でした。しかし、まだ一般企業に導入される気配はあまりありません(もちろん、ハイセキュリティエリアには導入されていますが)。会社の外のITセキュリティは、会社の中のそれをあっさり飛び越えてしまっています。
ちょっと気になるのは、この会社の外のITになれた高校生や大学生たちが、これから企業の中に入ってくるということです。彼らの中にはセキュリティを気にする、ちょっと意識の高い学生もいるでしょう。「えっ、これセキュリティ大丈夫なんですか?」と言われて、回答できないというのはなんとも悲しい事態です。
では、どうしたらいいのでしょうか。なんとなくですが、回答は「会社の外のITをそのまま会社の中で使えばいい」。つまり、クラウドサービスの利用なのではないかと、個人的には思っていたりします。しかしそこには、クラウドに対する漠然とした不安があるのも確か。この「漠然とした不安」がなんなのかは、セキュリティベンダーもクラウドサービス事業者も、そして経営者も頭を悩ませる部分じゃないかと思います(もちろん私たちメディア/編集者もです)。
今後、この「漠然とした不安」正面切って戦っていかなくてはならないと思います。オンプレミスvsクラウドではなく、セキュリティ的にいい落としどころがないか……。引き続き、ウォッチしていきたいと思います。 それではまた、セキュリティオンラインでお会いいたしましょう。
