企業の信用失墜を防ぐ情報漏えい対策（５）～パスワード常識のウソ、ホント～

「パスワードの管理」について間違った考え方や方法で間違った理解や運用がなされていることが実に多いです。「パスワードの管理」が適切になされないと、かえってそこがセキュリティ上の弱点となって、不正アクセスを許してしまう結果になります。

誰もが使っているパスワード。そこに落とし穴が・・・

セキュリティの基本とは何でしょうか。多くの人はファイヤウォール、ウィルス対策などをイメージするかもしれません。

しかしセキュリティの基本は「パスワードの管理」です。

セキュリティ対策の基本中の基本といっても過言ではありません。パソコンを使ったことがある人なら、誰もがパスワード設定の経験があると思います。パスワードは、世の中で広く普及し定着した技術の一つであり、高価な漏えい防止ツールを導入せずとも、最も簡単にできるセキュリティ対策の一つです。

実はここに大きな落とし穴が潜んでいます。誰にも簡単に扱える、身近にあるということは、誤った管理、ずさんな運用がされると命取りになるということです。マスコミ報道で「不正アクセスで個人情報が漏えい」というニュースを耳にすることがあると思いますが、外部のハッカーによる裏口からの不正アクセスではなく、ほとんどの場合パスワードが漏れて、正面玄関から堂々と入ったものです。たとえば社内でパスワードが公然化していて、誰もが使える状態になっており、アクセス権限のない者が機密情報にアクセスするような状態です。アクセスすれば、これは不正アクセスとなり、本来は禁止法で罰せられものです。

昔、三菱ＵＦＪ証券システム部の部長代理が顧客データベースにアクセスし、１４８万人分の個人情報を不正に持ち出すという事件が起きました。強固なセキュリティシステムを何重にも施した会社施設内で、なぜ顧客データが外部に持ち出されたのでしょうか。実はこの部長代理、同僚のＩＤとパスワードを利用し、部下に命じて不正アクセスをしていました。アクセス権限を持たない人間が容易に機密情報にアクセスできたのは、パスワードを不正利用したからにほかなりません。「パスワードの管理」がいかに大事かを示した事件と言えるでしょう。

セキュリティ専門家の言うことを丸呑みするな

パスワードを定期的に変更することを説く情報セキュリティ専門家は多いのですが、果たしてそんなことができるのでしょうか。人はウェブサービスを利用するのに平均15個のパスワードを持っているといいます。しかし15個のパスワードを人は覚えるのは至難の業です。しかもそのパスワードを定期的に変更せよといいます。また紙に書くなともいいます。そんなスーパーマンのような人はいるでしょうか？

パスワードを定期的に変更せよというのは、破られたことを想定して変えた方がよいと言っているに過ぎません。パスワードは外部からの攻撃で盗まれることもありますが、自らの油断からパスワードが漏えいしていることの方がずっと多いのです。たとえば偽物のウェブサイトにうまく誘導されて、ＩＤ、パスワードを自ら入力して漏えいする場合などはこれにあたります。ＳＳＬ（機密性の高い入力情報を暗号化して実在する相手と送受信する規約）が使用されているhttpsのページになっていることを確認してから入力するようにすれば、盗まれることもありません。パスワードを入力する際には、必ずページを確認することを習慣づければ、パスワードを定期的に変更するという無理なことをする必要がないともいえます。

現実的な一つの方法として、保護すべき重要なものだけパスワードを定期的に変更するようにしたらよいと思います。重要なものとは、銀行口座やクレジットカードをウェブで利用するような場合です。こうしたものだけＩＤ、パスワードを定期的に変更するようにします。毎日変えるというのも現実的ではありませんから、１カ月に1度程度の変更でよいでしょう。最近は、ワンタイムパスワードや、二段階認証の設定などで、大元のパスワード変更を頻繁にせずともよくなっています。

またこうした定期的な変更より大事なことは、ウェブサイト側の事故でパスワード漏えいが起きた場合の対処の方が、よほど重要です。情報漏えいが判明したら通知が来るので、その際にもし他のウェブサイトで同じＩＤ、パスワードを使っている場合には、できるだけ早く変更するようにしましょう。なぜならほかのウェブサイトで悪用される恐れがあるからです。多くの人が、さほど重要度が高くないウェブサービス（たとえばポイントサイトやチケットの予約、通販サイトなど）を利用するときに、共通のパスワードを使っていることが多いと思います。これらをそのままにせず、全部変更したほうが良いと思います。