「パスワードを突破され、不正アクセスを受けた」というニュースが後を絶たない。4月に入り、NTTレゾナントや、イーブックイニシアティブジャパン、JR東日本などが被害を受けたことを公表している。
被害を受けた企業やそのニュースを報じる報道機関は、こうした問題が発生するたびに「強固なパスワードを設定し、使い回しをしないように!」という“正論”を述べている。具体的には「パスワードは、アルファベットの大文字小文字や数字を混ぜ、できれば記号を加えた推測しづらい8文字以上の文字列とし、他サイトでの使い回しを避け、メモもしてはいけない」といったものだ。
実社会では書類ごとに印鑑を用意しているのか
こうした指摘はまったく正しい。まさしく正論である。しかし、こうした運用を実社会でしたなら、どうなるのかを考えてみよう。
上記のようなパスワード管理を印鑑に当てはめると、「押印する書類の相手ごとに、一般には売っていない印影の異なる印鑑を用意し、第三者の目に触れないように厳重に管理する。さらにそれぞれの印鑑をどこで使っているかをメモしてはいけない」といっているようなものだ。
しかし一般的な社会人は、印鑑ごとに用途を分けて、使い回しをしている。具体的には実印、銀行印、認印(三文判、ゴム印)が普通だろう。
認印は、宅配業者や郵便配達の受領印のために玄関先に一つ、会社で使用する普通の書類用に一つ、あとはカバンの中にも一つというように、複数を持っていることが多い。特注で作成する印鑑は実印のみか、せいぜい銀行印までだ。特注の印鑑を数十個メモもせずに使い分けている人はお目にかかったことがない。
正論をいえば、印鑑も一つずつ別のものを使うべきだろう。しかし、現実社会ではだれもそんな正論で動いていない。では、なぜパスワードについては正論しか言われないのだろうか。それは、印鑑の場合、押印だけで全てのことが進んでしまうのかどうかが分かっているし、押印する意味を社会人として良く知っているからである。逆にいえば、パスワードを使うネットという世界の中で、ユーザーは大人として行動できていないともいえる。
実際に通帳と銀行印だけで個人の預金を引き出せるだろうか。以前はそれでもできたようだが、現在では多くの場合に、身分証明が必要になっている。この場合、通帳がIDで印鑑はパスワードに該当し、身分証明書は本人と確認できる別のもの、すなわち第2パスワードや秘密の質問、ワンタイムパスワードに相当するだろう。
ただ現実の場合、震災などの非常時に際しては別の手段も考慮されている。つまり、全体としての利便性を極力損なわず、被害を最小限にしていく工夫が随所になされていることが分かる。
本人確認をしないATM(現金自動預け払い機)でのキャッシュカードやクレジットカードを使った引き出しは暗証番号だけでよい。しかし引き出し額には限度額が設定されており、監視カメラで映像が記録されるなど不正な引き出しがあったとしてもシステムで対抗できるようにしている。
このように実社会では、サービス提供者側も利用者側も一定以上の認識と対策をとっている。しかし、ネットでは提供者側も利用者側も、IDやパスワードの管理に慣れていないことを前提にする必要がありそうだ。ここ数年で、ネットの役割は大きく変わってきた。当初は提供者にも利用者にもそんなつもりはなかったが、現在は互いにとってネットが大きな存在になっている。
こうした課題は、パスワードを使ってサービスを運用している提供者側のものであって、その負荷を利用者側に押しつけるのはお門違いとの議論もある。しかし実際には、多くのサービスが社会に組み込まれ、日常で使われている。今回はあくまでも利用者の立場から、現実を認識したうえで今後に備えられるように、何をすべきかを説明する。
