パスワードの運用（管理者編）

筆者：株式会社タケキ IT教育事業部出口雄一

2006.04.12

ポイント

●パスワードを運用する際，管理者側では次のことに気をつける必要がある。「ロックアウトの設定をしておく」，「パスワードの有効期限や長さを設定する」，「同じパスワードの再利用を認めない」。

●パスワードの運用規則は，基本的に人間の記憶能力の範囲内でしか設定できない。どうしても厳しい規則を適用しなければならない場合は，コストをかけてでもほかの対策を検討する必要がある。

「パスワードを安全に運用するために気をつけなければならないこと」は，基本的には利用者側でも管理者側でも同じです。しかし，管理者側としては，気をつけなければならないことを「守ってもらう」あるいは「守らせる」ために考えなければならないことがあります。今回は，パスワードを運用する際に管理者側として注意しておきたい点を確認していきましょう。

ロックアウトの設定をしておく

　誰でも簡単に思いつくパスワード破りの手法が総当たり攻撃というものです。パスワードに使える文字の組み合わせてログインを試み，失敗したらほかの組み合わせで試してみる。これを繰り返せば，いつかはログインできます。

　この対策として有効なのが，ロックアウトという手法です。ロックアウトとは，同じアカウントを使って一定期間内に何回もログインに失敗したら，総当たり攻撃を受けている可能性があると判断して，そのアカウントを無効したりする機能のことです。

　悪意のある第三者がサーバーへの侵入を試みる時を想像してみましょう。話を解りやすくするために，このシステムでは4個の数字をパスワードとして用いているとします。この場合，認証の画面で，あるアカウント（ユーザーID）に対して，0000から9999まで次々と別のパスワードを入力していけば（これが「総当たり攻撃」），必ず認証に成功します。

　そこで，「同じアカウントが5回連続でパスワードを間違えたら，そのアカウントを無効にする」という設定にしておきます。こうすれば，総当たり攻撃を防げます。ただし，正規のユーザーが5回続けて自分のパスワードを間違えたときも，アカウントは無効になってしまいます。こうした場合は，ユーザーが管理者にその旨を伝えて，アカウントを復活させてもらうことになります。

図1 Windows Server 2003のロックアウト設定画面
[画像クリックで拡大表示]

パスワードの有効期限や長さを設定する

　パスワードを定期的に変更しておけば，万が一盗聴されてしまった場合でも，変更した時点で前のパスワードが意味を持たなくなるため，セキュリティ向上につながる，ということは利用者編でお話しました。しかし，いくら利用者に運用ルールとして通知しておいても，必ず守ってくれるとは限りません。

　最近のサーバーOSはパスワードの有効期限を設定できるようになっているものが多いので，この機能を用いて一定期間を超過したらパスワードを強制的に変更させるようにできます。そうすれば利用者が定期的に自分のパスワードを変更する，という部分に関して実効性を持たすことができます。

　パスワードの長さに関しても，「6文字以上」などのようにシステムの方であらかじめ設定することが可能な場合があります。有効期限と同様に強制的にしきい値を設けてしまうことにより，誰が設定しても一定以上の強度を持つパスワードで運用することが可能になります。

同じパスワードの再利用を認めない

　定期的な変更を義務付けても，あるいは強制的に変更するような仕組みにしても「新しいパスワードを考えるのが面倒くさい」，「変更すると覚えていられない」ということで，毎回同じパスワードを入力する利用者もいます。これでは何のために変更するルールを作ったのかわかりません。

　そこで，以前に使ったパスワードの履歴を記録し，再び同じパスワードを設定しようとするとエラーになるようにします。Windows Server2003などには，同じパスワードを再利用できなくする機能が備わっています。

図2 Windows Server 2003のパスワードのポリシー設定画面
[画像クリックで拡大表示]

　なお，Windows Server 2003における，パスワードのポリシーやロックアウトのポリシーの具体的な設定推奨値は，マイクロソフトのWebページに詳しく記述されていますので，参考にしてみてください。

パスワードの限界

　ところで，パスワードを利用したアクセス制御では，どこまで安全に運用できるのでしょうか。例えば，少し極端ですが，「パスワードを12文字以上にして，必ず数字と記号と英字を混在させ，意味のない文字列にし，これを3日に1回変更し，メモに残してはならない。また1度使ったパスワードと同じものを使ってはならない」というような規則を作ったとしましょう。

　規則としては成り立ちますが，こんな規則を押しつけられたユーザーは困ってしまうでしょう。そうすると，その規則の運用がうやむやになってしまいます。つまり，守れそうもない規則を作っても意味がないのです。パスワードはSYK（Something You Know ･･･記憶による認証方式）のうちの一つであり，あくまでも人間の記憶能力の範囲を超えない部分で運用ルールを作る必要があるのです。

　情報資産の重要度が高くどうしても厳しい運用ルールを適用しなければならない場合は，コストをかけてでも，ほかの対策を施さねばならないのです。次回は「毎回パスワードを変更する（パスワードを使い捨てにする）」という部分を，しくみとして実装した「ワンタイムパスワード」を解説します。