世界を見渡しても、情報漏洩事件は未だ頻繁に発生しています。各企業も現状を重く見て、内部のセキュリティ強化に繰り返し取り組んでいます。しかし、企業の情報セキュリティ強化は設備投資、関連ポリシーや運用ルールの整備で終わるものではなく、現状においては「人」が核心となってきます。いくらコストを投入しても、内部のセキュリティを100%完璧にすることは難しく、ユーザがしばしばセキュリティホールになります。悪意であれ不注意であれ、一度事件を引き起こすと貴重な情報が漏洩して、企業の信用を大きく損ないます。ここでは、内部ユーザのセキュリティ意識と講習についてのノウハウを紹介したいと思います。
アメリカ国立標準技術研究所(NIST)は2003年に1つのルールを公表しました。パスワード強度を維持するには大文字、小文字、数字、記号を組み合わせて、3か月(90日)に1度変更するというものです。しかし、現在ではNISTのルールに反してMicrosoftはWindows 10 version 1903とWindows Server version 1903から、3か月に1度のパスワード変更強制をセキュリティルールから除外しました。アメリカの専門家からも「3か月に1度パスワードを変更する」のは根拠がなく、パスワードを頻繁に変更することはかえってセキュリティリスクを生むとの意見が表明されています。
筆者としてもパスワードの定期的な変更強制がセキュリティリスクを生むという意見に同意です。例えば、頻繁に変更されるパスワードを忘れないように
(1) パスワードを書いた付箋を画面に貼り付ける
(2) いくつかのパスワードを繰り返し使いまわしてシステムのチェックを回避する
(3)紙や暗号化されていない電子ファイルに記す
などの行動を引き起こします。パスワード解読への対抗策としては有効でも、こうなると漏えいのリスクが急速に高まってしまう、まさに諸刃の剣ともいえるでしょう。
私見ではありますが、独自のパスワード複雑度ルールを設定して、さらに二段階認証や多要素認証と組み合わせれば、さらなる安全性を期待できると考えています。FineArt社でも、ISO27001認証を通過したルールを構築して運用しています。
パスワードを複雑化するにはどうすればよいでしょうか。例えば、文字の一部を記号に置き換えてみたり、ローカル言語(ひらがなやカタカナ、中国語など)を利用してみたりします。「Password」を「P@s$w0rd」や「Pasuwa-do」(日本語入力)、「ji3k27au4a83!!」(中国語入力)などのように変化させると、大文字、小文字、数字や記号を含まることができ、パスワードルールを満たしつつ一見複雑なものが出来上がります。
ところが、こうして作られたものは攻撃側からも容易に推測されるため、実際の強度としては高くないのです。実際に、漏えいしたパスワードを収集して公開しているようなデータベースで調べると、類似のパターンで生成されたと思われるものが大量に発見されます。このようなデータベースは攻撃者がハッキングする際の情報としても使っていますので、こういったところから発見されるようなパスワードでは意味がありません。
パスワードの強度を調べるWebサービスというのも存在しますが、そういったサービスにパスワードを入力して調べることもやめたほうがいいでしょう。Webサービスを提供している側が入力されたパスワードを収集していないと言い切れるでしょうか。攻撃者のハッキング用データベースに流用されていないと言い切れるでしょうか。このような行為は、パスワードを守りたいあまり、却って目立させてしまっているのです。
ではどうすれば良いのでしょうか。現在はただ「長くする」ことが良いとされています。単純で解読されやすそうにも見えるのですが、ユーザ自身の習慣や文化に応じた短文を(時に異なる言語で)作るのもよいでしょう。「K0nnnichiwa-Fineart-desu」などのように。
パスワードの長さが十分にあると解読には長い時間がかかるため、攻撃を諦めたり攻撃中に気が付いて対策が取れたりできます。そのため、漏えいしてハッキング用データベースに載ってしまうようなことがなければ頻繁に変更する必要もありませんし、同じパスワードを複数のサービスで使いまわしていなければ変更するのも最小限で済みます。何より、短文なのでユーザが覚えやすいのが利点です。
実は、NISTはすでに関連基準を修正していて、「強度を持つパスワードは最低限64文字」としています。さらにMicrosoftは追加での保護も推奨しています。例えば特定パスワードリストの禁止(123456、passwordなど)や、多段階認証の利用などです。
そのほか、パスワード探索攻撃ソーシャルメディアの利用をしないことや、会社のパスワードと個人のパスワードを同一にしないなどの対策も有効です。
社内のDLP製品やADアカウントパスワードセキュリティポリシー設定も、これらの関連研究やアドバイスを考慮することで、NIST新規定の要求に適合できます。
社員に対しても、強度があって覚えやすいパスワードの作り方を推奨したり、パスワードをネット上の強度検証サービスにアップロードしないように厳格に教育したり、といった講習をすべきでしょう。