あなたの会社の「エンドユーザー」は,自社のセキュリティ対策に様々な不満や疑問を抱えている。エンドユーザーの声に,情報システム部門はどのように応えていけば良いだろうか。セキュリティ・コンサルタントの濱本常義氏と共に,その答えを考えてみよう。


エンドユーザーの不満

(不満その1)
 私の職場では,三カ月に一度,パソコンのログイン・パスワードを変更する決まりがあります。一度設定した番号は再度使えないし,誕生日や電話番号など見破られやすいものも禁止。情報管理の担当者が毎回チェックに回るため,手を抜けません。最近は次第に覚えやすいパスワードがなくなってきて,困っています。

(不満その2)
 我が社では,パスワードを求められる回数がとにかく多いことが不満です。パソコンにログインするときはもちろんのこと,どのソフトを使うにも,起動時に毎回パスワードを入力しなくてはなりません。ある程度の対策は必要ですが,ここまでの「過剰防衛」は業務に支障をきたしている気がします。

セキュリティ・コンサルタント濱本がお答えします

 今回は,二人の方のパスワードに関する不満にお答えしようと思います。

 この二人の方の不満ポイントは大別すると2点に集約されると思います。まず1点目ですが,情報セキュリティ・ポリシーを定めることによってアクセス管理が厳密になり,社内で複数のIDと複数のパスワードをより厳密に管理しなければならなくなったことがそもそも不満なのでしょう。

 また,非常に厳しいパスワード・ポリシーが定められた結果,パスワードを1カ月から3カ月に一度変更するようシステム的に求められる場合が多くなったこともユーザーの不満を呼んでいるようです。特に,最近のパスワード管理システムでは,過去に変更されたパスワードの履歴も保持しており,過去に数回使ったパスワードや簡単に解けるパスワードをシステム的に受け付けなくなってきています。質問者のような不満を持たれている方は,様々な企業にいらっしゃるのではないかと思います。

 これらの問題に対する「教科書的な答え」としては,「IDとパスワードのみに頼った認証ではなく,エンドユーザーのスキル・レベルに依存しない認証手段を採用すべき」となるでしょう。例えば,物理媒体である「ICカード」と「PINコード」(ICカードを有効/無効化するためのパスワード)を組み合わせた認証システムや,指紋認証装置などを採用したり,様々な社内システムに対して一元的なID/パスワード(アカウント)でログオンできる「シングル・サインオン」と呼ばれるシステムを導入したりすることなどが挙げられます。

 しかしながら実際の現場では,予算やエンドユーザーのセキュリティ・レベルに違いが見られるため,一概にこういった教科書的な対処がうまくいくという保証はありません。そのため今回は,万能の解ではありませんが,エンドユーザーが自らできる対策として,筆者が日ごろ心がけているパスワード管理の対処法をいくつか紹介しようと思います。

パスワードは破られるもの

 まず,なぜパスワードを適切に管理しなければいけないか,お話ししましょう。

 皆さんが利用するパスワードの身近なものとしては,Windowsの認証用のIDとパスワードや,電子メールのIDとパスワード,最近だと,重要な情報をメールに添付するために圧縮ツールのZIPパスワードを設定することなどが,身近なところかと思います。

 実は,こういった身近なパスワードには,解読するためのツールが存在します。よく知られた単語や数字だけのパスワードしか設定していない場合は,下手をすると数秒,長くても1分ほどでパスワードが解析されてしまうという現実があります。

 パスワードの解析方法には,いくつか種類があります。攻撃手法としては,よく知られた文字列を辞書として保持し,辞書内の文字列とパスワードの暗号化結果を付き合わせる「辞書攻撃」,総当りの文字列を使う「ブルート・フォース(Brute Force)攻撃」,ブルート・フォース攻撃のようなそのつど生成したパスワード突き合せ用文字列を暗号化して,実際の暗号化されたパスワード文字列とつき合わせる処理では,暗号化処理分だけ時間がかかるため,暗号化処理されたパスワードそのものをデータベース化して付き合わせる「レインボー・テーブル(Rainbow Table)攻撃」などがあります。

 そしてこのような攻撃手法を実装した「ツール」も,多数存在しています。例えば,暗号化したZIPファイルのパスワードを解析するツールとして「pikazip」というものが存在します。このツールは,暗号化ZIPファイルに対するブルート・フォース攻撃を,ローカルPC上で実行できるわけです。

 これは私の実話ですが,友人にその日の日付「0512」をパスワードにした暗号化ZIPファイルを送付した際に,うっかりパスワードを送付し忘れていたら,友人から「pikazipを使ってパスワード解除した」という返事が来てヘコんだことがあります。私も試してみたところ,パスワード長が4文字で数字のみのパスワードだと,デュアル・コア・プロセッサならおよそ1分で解読できました。筆者もセキュリティの専門家いわれる身です。安易なパスワードを設定してはならないと自戒した事件だったので,恥を忍んでお話しました。

 またWindowsであれば,CDドライブからパソコンをブートして,ハードディスク内に保存されているWindowsのパスワードをわずか数分で解析してしまう「Ophcrack」というツールが存在します。

 電子メール・ソフトなどではパスワードが「*」として見えなくなっていますが,このように見えなくなっているパスワードを強制的に可視化するツールも存在します(みえみえパスワード)。また電子メールのパスワードは,ネットワーク上では暗号化されていないクリア・テキストでやりとりされていますから,ネットワークを盗聴されてしまうと,その時点でパスワードが漏れてしまいます。

 このようにパスワードというものは,とくにハードウエアに対して物理的な接触が可能だったり,暗号化したファイルそのものが第三者の手に渡ったりした時点で,いつかは解除されてしまうものであると理解して頂きたいと思います。