SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Security Online Day 2023 春の陣

2023年3月14日(火)10:00~16:00

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

「セキュリティ オンライン」の視点

「パスワード」――それは、一番身近なセキュリティ問題

■第1回


皆さま初めまして、この度エンタープライズジンにて「セキュリティオンライン」のチーフ・キュレーターに就任しました、宮田と申します。どうぞよろしくお願いいたします。私は以前よりセキュリティに関するメディアの編集を担当しておりまして、主にエンジニア向けのセキュリティを追いかけておりました。今回、セキュリティオンラインではトップページにもありますように、変化する状況に合わせた、いま必要な等身大の情報を追いかけていきたいと思います。……とはいえ、このコラムではもうちょっとくだけた「セキュリティ」をお送りできればと思っています。最初は、企業の中にいる個人に向け、気になるトピックをお送りしましょう。

パスワード、管理できていますか?

 最初は皆さんにも身近な問題、「パスワード」に関して取り上げたいと思います。ところで、みなさんの企業の中にはパスワードに関するポリシーがどのように作られているでしょうか。おそらく、よくあるルールはこんなものでしょう。

  • パスワードは8文字以上で、英数字だけでなく記号、大文字小文字を混在させてください
  • パスワードは1カ月に1回変更してください(期限が切れたら強制的に変更画面に遷移します)
  • パスワードを付せん紙に書いて貼るなんて言語道断です

 実はセキュリティに携わるエンジニアの間では、このパスワード談義は非常に引きの強いトピックだったりします。「定期的なパスワード管理なんて意味がない」「覚えられないほどの長さを強制しても、結局覚えられないのは当たり前」「むしろ手帳に強固な長いパスワードをメモする方がよっぽど安全」……。これらの意見、間違っているとは思えません。

 ちょっと視点を変えましょう。会社の外のIT世界も同じようにパスワードを使って、ログインをさせ、サービスを提供しています。会社の中のITと同じ問題があるはずですが、むしろ無料で、一般向けに作られたサービスのほうが進んでいるような気がします。

 例えば、会社の外のサービスでは、「二要素認証」が取り入れられています。現在ではFacebookやYahoo!、Google、Dropboxなどが二要素認証に対応しており、日本ではまだ利用できませんが、アメリカではTwitterやApple IDも二要素認証を取り入れ始めました。

 この二要素認証とは、ユーザーIDとパスワードのみではログインが完了せず、登録された携帯電話へSMS/メール/音声通話によって送られるワンタイムパスワードが必要となるもので、万が一パスワードが外部に漏れたとしても、登録されたデバイスがなければログインできないというものです。パスワードとデバイスの2つの要素を認証に使うから、二要素認証なのですね。

 さらに、一般のWebサイトであれば、さまざまなパスワード管理ツールが利用可能です。KeyPassや1Passwordが有名ですが、これがあれば強固な、それこそ20文字を超えるようなパスワードであっても1クリックで入力が可能です。

会社の外の便利な機能、会社の中でも使えるようになればいいのに……

 二要素認証/多要素認証は、ICカード認証や静脈認証や網膜認証などの形で、展示会などのイベントではそれこそ10年以上前からもてはやされている分野でした。しかし、まだ一般企業に導入される気配はあまりありません(もちろん、ハイセキュリティエリアには導入されていますが)。会社の外のITセキュリティは、会社の中のそれをあっさり飛び越えてしまっています。

 ちょっと気になるのは、この会社の外のITになれた高校生や大学生たちが、これから企業の中に入ってくるということです。彼らの中にはセキュリティを気にする、ちょっと意識の高い学生もいるでしょう。「えっ、これセキュリティ大丈夫なんですか?」と言われて、回答できないというのはなんとも悲しい事態です。

 では、どうしたらいいのでしょうか。なんとなくですが、回答は「会社の外のITをそのまま会社の中で使えばいい」。つまり、クラウドサービスの利用なのではないかと、個人的には思っていたりします。しかしそこには、クラウドに対する漠然とした不安があるのも確か。この「漠然とした不安」がなんなのかは、セキュリティベンダーもクラウドサービス事業者も、そして経営者も頭を悩ませる部分じゃないかと思います(もちろん私たちメディア/編集者もです)。

 今後、この「漠然とした不安」正面切って戦っていかなくてはならないと思います。オンプレミスvsクラウドではなく、セキュリティ的にいい落としどころがないか……。引き続き、ウォッチしていきたいと思います。 それではまた、セキュリティオンラインでお会いいたしましょう。

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
「セキュリティ オンライン」の視点連載記事一覧

もっと読む

この記事の著者

宮田健(ミヤタタケシ)

10年間のシステムエンジニア経験を経て、@IT編集者としてSecurity & Trustフォーラムを中心に、ネットワーク、データベースなどの技術情報を発信する。その後、2012年11月に独立、現在はエンタープライズ系のIT技術を追いかけるフリーライターとして活動。また、テーマパーク情報を追...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/4890 2013/06/28 16:12

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2023年3月14日(火)10:00~16:00

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング