昨年は全国の企業や組織で情報セキュリティ教育の現場を回ってきたが、残念に感じるシーンを度々見かけた。特にコンプライアンスや人事、システム企画に携わっている方にお伝えしたいことがある。
筆者は昨年、情報セキュリティ教育やコンプライアンス教育など、企業や組織の従業員、管理者、経営者向けの講習を数十件にわたって手掛けた。幾つかの企業や自治体は内部の関係部門による講習を拝見したが、正直に言えば、そこでの内容は「参考」というより「反面教師とはこういうことか」と感じる場面が多かった。その企業や組織の実態もよく分かった。具体的に感じた点は次のようなものだ。
その1:講師のやる気がない。企業によってプリントを作成したり、市販本を配布したりと、取り組みはさまざまだが、講師自身が内容を完全に理解していないと思われる発言が多い。心がこもっていないのだ。仕事として話しているという感じがみえみえなのである。
その2:規則やルールについて、「……と決められているので必ず守ってください」「……なので厳守しないと社内の処罰対象になりますから、注意してください」ということしか話さない。これを聞いても人は納得しない。きちんとその理由を話さないので、単に規則を朗読している感じがして講習の場が重苦しい。
その3:「理解しなさい」と上から目線が多い。メリハリが無いので誤解されてしまう可能性が高いのだ。
その4:講師が同じ従業員だと、真剣に聞いてもらえない。地位の高い人ほど、なかなか言うことをきかない。同じ指摘でも外部の講師なら従う。
パスワードはわずらわしいものだ。通常、社員の場合でも10個くらいのパスワードを使うだろう。ついつい同じパスワードにしたり、半年に一度変更しなければならない場合でも最後の1文字だけを変えてみたりと疎かにしがちだ。しかし、今のパスワードは、「実印」と同じかそれ以上に重要なものになっている。利用者もそれを知っているはずなのに、まるで正面からそれを認めようとしないほどだ。そういう人が非常に多い。
筆者は、パスワードという方法がベストとは決して思わないし、むしろある意味では「必要悪」と思える。しかし、どう転んでも現時点でパスワードは重要な認証方式となっているし、どこでも使われている。通常の企業ではだいたいこういうルールになっているはずだ。
企業側がこれを全て実践しているかを自動的にチェックするのはかなり大変なので、システムでチェックしている項目はだいたい(1)と(5)の2つか、それに(2)を加えた程度である。だから、従業員のモラルによるところが多い。これを強化するのが啓蒙教育であるはずだが、上述したように、その効果に疑問符が付いてしまう企業や組織が多い。
仮に、ルールにきちんと従うとパスワードの強度はどのくらいになるだろうか。これは計算で簡単に分かる。文字のパターンは英字大文字26種+小文字26種+数字10種+特殊文字である。計算を簡単にするため、特殊文字を8種とするなら全部で70種だ。8けたの文字なので、パターンは70の8乗、おおよそ576兆通りとなる。
この全てのパターンを高スペックのPCで解析(総あたり攻撃)すると、平均で0.9年を要する。ちなみに、この解析では途中までで幾つのパターンを解析できたのかを表示できる専用ソフトで試行している。それでは大よそ1秒あたり700万回であった。メモリやCPUを現時点で最高性能のものを使うとすれば、ざっと1秒あたり1000万回だ。
解析に平均0.9年かかるパターンのパスワードを四半期に1回更新するなら、「まぁ大丈夫だろう……」と思うかもしれない。ところが、実際はそんなことはない。このパターンが安全だというには、2つの前提条件が必要になるからだ。
Copyright © ITmedia, Inc. All Rights Reserved.