パスワードにまつわるあれこれ ~定期的にパスワード変更を!

20150527_02

インターネットを使っていると、必ず必要になってくるものといえば「パスワード」ではないでしょうか。webサービスを利用する際に、ユーザーが本人かどうかを判別するために入力しなければならないシーンがよくあると思います。

この記事をご覧になっている方の中には、過去に決めた一つのパスワードをずっと使い続けている人はいないでしょうか。このパスワード、サービス提供側の不注意や、悪意を持った存在によって、度々流出することは、報道等でご存知だと思います。こうした事象に対して、パスワードは定期的に変更することが望ましいとされています。

楽天、LINE、amazon利用者は注意!中国向けサーバー流出のID使い約6万人分不正接続

不正アクセス禁止法違反容疑で昨年、警視庁が摘発した東京都内の「プロキシ(代理)サーバー」業者の中継サーバーに約506万人分のIDとパスワードなどの個人情報が保存されていた問題で、このIDなどを使い大手通販サイトなど3社に接続した形跡があったことが17日、警視庁サイバー犯罪対策課の調べで分かった。同課は接続が成功した個人情報を3社へ提供し、パスワードを使い回さないよう注意を呼びかけている。
(2015.4.17 産経ニュース)

単純・連想できるパスワードの危険性

2015年1月に、パスワード管理に関するサービスを提供しているアメリカの「Splash Data」が発表したデータによると、インターネット上で最も使われているパスワードは「123456」だったそうです。次いで「password」「12345」が続いているようです。(“123456” Maintains the Top Spot on SplashData’s Annual “Worst Passwords” List

25位までの一覧を見てみると、「qwerty」のようなキーボードの順番だったり、「12345678」や「abc123」のような容易に想像できるようなものだったり、「baseball」や「superman」のような意味のある単語だったりします。こうした汎用性の高いパスワードは、不正アクセスなどされやすくリスクが高いといえるでしょう。パスワードを設定する際には文字列にも気を使う必要性があります。

 パスワードの保管

2014年11月、ソニー・ピクチャーズがハッキングされ、業務に関わるシステムが全て麻痺状態になったニュースがありました。(ソニー・ピクチャーズ、ハッキングで混乱拡大―システム復旧もまばら)しかも、約6000人もの社員・経営幹部の給与情報が含まれている極秘ともいえる個人情報が流出し、その被害は大きいものになっています。ところが、事件自体以外にも注目を集めてしまった、少し違った話題がありました。

 ソニーはパスワード数千個を「パスワード」というフォルダに保管していた
Facebook、MySpace、YouTube、Twitterの「映画大作の公式アカウントのユーザー名とパスワード」を探し当ててしまったわけですよ。仕事早いと思ったらなんのことはない。「Password」っていう巨大なフォルダに入っていたんですね。

フォルダーにはもっと沢山のパスワードが入っています。「Facebookのログインパスワード」というのもあります。誰が見てもパスワード、どこから見てもパスワード。暗号化もセキュリティもなしの平文で、一般常識も小学生並みのオンライン安全対策もなし、です。
(2014.12.05 GIZMODE)

あまりに杜撰なパスワードの管理体制が露呈してしまったというのです。

20150527_03

増えすぎたパスワードをどこかにメモを残したかったり、会社や団体などのアカウントのパスワードは複数人で運用するので共有したいこともあると思いますが、容易にありかや内容が分かってしまうのは問題があります。複数のパスワードを管理するための、パスワード管理ツールというものがいくつもリリースされているので、こうしたものを活用するのも一つの手でしょう。(参考:NAVERまとめ 増え過ぎたパスワードを管理しよう!

当社の対策

当社では、ISMS認証を取得し、自社で情報セキュリティーを守るためのルールや対応策を制定し、それを守り、実施することで安全性を担保しています。パスワードに関しても次のようにルールを定めています。

(1) パスワードは英数字(大文字・小文字)を混同した8文字以上で設定する。
(2) FTPなどのパスワードは従業者各自がパスワード管理ツールで管理する。
(3) パスワードを他人に開示しない。机上などにメモを残してはならない。
(4) パスワードを設定する際には伏字になるように設定する。
(5) パスワードは一定期間(3ヶ月毎)で変更しなくてはならない。
(ISMS情報セキュリティ対策基準版「22. 社内ネットワーク、PCのパスワード」)

20150527_01

特に3ヶ月毎のパスワード変更は、係の者が立ち会い、変更記録を帳簿で管理するため、全員が確実に実施しています。

皆さんも個人的にパスワードを定期的に変更することを習慣づけたり、会社などで変更のポリシーを決めて定期的にパスワード変更を行うことをお勧めします。