EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

■第1回 「パスワード」――それは、一番身近なセキュリティ問題

  2013/06/10 16:00

皆さま初めまして、この度エンタープライズジンにて「セキュリティオンライン」のチーフ・キュレーターに就任しました、宮田と申します。どうぞよろしくお願いいたします。私は以前よりセキュリティに関するメディアの編集を担当しておりまして、主にエンジニア向けのセキュリティを追いかけておりました。今回、セキュリティオンラインではトップページにもありますように、変化する状況に合わせた、いま必要な等身大の情報を追いかけていきたいと思います。……とはいえ、このコラムではもうちょっとくだけた「セキュリティ」をお送りできればと思っています。最初は、企業の中にいる個人に向け、気になるトピックをお送りしましょう。

パスワード、管理できていますか?

 最初は皆さんにも身近な問題、「パスワード」に関して取り上げたいと思います。ところで、みなさんの企業の中にはパスワードに関するポリシーがどのように作られているでしょうか。おそらく、よくあるルールはこんなものでしょう。

  • パスワードは8文字以上で、英数字だけでなく記号、大文字小文字を混在させてください
  • パスワードは1カ月に1回変更してください(期限が切れたら強制的に変更画面に遷移します)
  • パスワードを付せん紙に書いて貼るなんて言語道断です

 実はセキュリティに携わるエンジニアの間では、このパスワード談義は非常に引きの強いトピックだったりします。「定期的なパスワード管理なんて意味がない」「覚えられないほどの長さを強制しても、結局覚えられないのは当たり前」「むしろ手帳に強固な長いパスワードをメモする方がよっぽど安全」……。これらの意見、間違っているとは思えません。

 ちょっと視点を変えましょう。会社の外のIT世界も同じようにパスワードを使って、ログインをさせ、サービスを提供しています。会社の中のITと同じ問題があるはずですが、むしろ無料で、一般向けに作られたサービスのほうが進んでいるような気がします。

 例えば、会社の外のサービスでは、「二要素認証」が取り入れられています。現在ではFacebookやYahoo!、Google、Dropboxなどが二要素認証に対応しており、日本ではまだ利用できませんが、アメリカではTwitterやApple IDも二要素認証を取り入れ始めました。

 この二要素認証とは、ユーザーIDとパスワードのみではログインが完了せず、登録された携帯電話へSMS/メール/音声通話によって送られるワンタイムパスワードが必要となるもので、万が一パスワードが外部に漏れたとしても、登録されたデバイスがなければログインできないというものです。パスワードとデバイスの2つの要素を認証に使うから、二要素認証なのですね。

 さらに、一般のWebサイトであれば、さまざまなパスワード管理ツールが利用可能です。KeyPassや1Passwordが有名ですが、これがあれば強固な、それこそ20文字を超えるようなパスワードであっても1クリックで入力が可能です。

会社の外の便利な機能、会社の中でも使えるようになればいいのに……

 二要素認証/多要素認証は、ICカード認証や静脈認証や網膜認証などの形で、展示会などのイベントではそれこそ10年以上前からもてはやされている分野でした。しかし、まだ一般企業に導入される気配はあまりありません(もちろん、ハイセキュリティエリアには導入されていますが)。会社の外のITセキュリティは、会社の中のそれをあっさり飛び越えてしまっています。

 ちょっと気になるのは、この会社の外のITになれた高校生や大学生たちが、これから企業の中に入ってくるということです。彼らの中にはセキュリティを気にする、ちょっと意識の高い学生もいるでしょう。「えっ、これセキュリティ大丈夫なんですか?」と言われて、回答できないというのはなんとも悲しい事態です。

 では、どうしたらいいのでしょうか。なんとなくですが、回答は「会社の外のITをそのまま会社の中で使えばいい」。つまり、クラウドサービスの利用なのではないかと、個人的には思っていたりします。しかしそこには、クラウドに対する漠然とした不安があるのも確か。この「漠然とした不安」がなんなのかは、セキュリティベンダーもクラウドサービス事業者も、そして経営者も頭を悩ませる部分じゃないかと思います(もちろん私たちメディア/編集者もです)。

 今後、この「漠然とした不安」正面切って戦っていかなくてはならないと思います。オンプレミスvsクラウドではなく、セキュリティ的にいい落としどころがないか……。引き続き、ウォッチしていきたいと思います。 それではまた、セキュリティオンラインでお会いいたしましょう。



著者プロフィール

  • 宮田健(ミヤタタケシ)

    10年間のシステムエンジニア経験を経て、@IT編集者としてSecurity & Trustフォーラムを中心に、ネットワーク、データベースなどの技術情報を発信する。その後、2012年11月に独立、現在はエンタープライズ系のIT技術を追いかけるフリーライターとして活動。また、テーマパーク情報を追いかけるエンターテイメント系ライターとしての顔も持つ。個人活動として、日本ではめずらしいセキュリティポッドキャスト「セキュリティの『アレ』」を不定期で配信中。

バックナンバー

連載:「セキュリティ オンライン」の視点
All contents copyright © 2007-2020 Shoeisha Co., Ltd. All rights reserved. ver.1.5