なぜ人は、安易なパスワードを使うのか?:第1回 セキュリティエバンジェリストに聞く
アクセスしてきた相手を識別する「認証」はセキュリティの基本だ。数ある認証手段のうち、最も普及しているのは「パスワード」だろう。しかし実際には、容易に推測できてしまうパスワードが横行しているのが現状だ。セキュリティエバンジェリストとして知られる辻伸弘氏に、課題と対策について聞いた(全3回連載)
【連載】セキュリティエバンジェリストに聞く (全3回)
- 第1回:なぜ人は、安易なパスワードを使うのか? (本記事)
- 第2回:パスワードの使い回し禁止はもう限界?――リスト型攻撃を防ぐには
- 最終回:手のひら静脈認証は、セキュリティが「良くなる」と「楽になる」を両立するか?
辻 伸弘(つじ のぶひろ)
ソフトバンク・テクノロジー所属。主に、コンピュータの弱点を洗い出し修正方法を助言するペネトレーションテストに従事する。民間企業、官公庁問わず多くの検査実績を有する。現在ではセキュリティエバンジェリストとして、TVやインターネットを通じた情報発信も積極的に行っている。監訳に『実践Metasploit』(オライリージャパン)など。
「認証に基づくアクセス制御」がセキュリティ対策の基本
不正アクセスや標的型攻撃など、サイバーセキュリティを巡る状況は刻々と変化しているが、セキュリティ対策の基本は変わらない。OSや業務アプリケーションにパッチを当て、ソフトウェアを最新の状態にしておくことや、ファイアウォールなどを用いて外部からの不要な通信をブロックすることなどだ。
もう1つ、忘れてはならない対策がある。「誰がアクセスしたか」を確かめ、そして「アクセスできる権限があるか」をチェックする、「認証」というステップだ。例えばマイナンバー制度の開始に伴って示された「特定個人情報の適正な取扱いに関するガイドライン」でも「アクセス者の識別と認証」と、それに基づく「アクセス制御」が、技術的対策として挙げられている。
さまざまな認証手段、それぞれにメリットとデメリットがある
認証には様々な方法があるが、広く用いられているのは「ID・パスワード」の組み合わせによるものだ。しかしそれも、複雑にすれば利便性を損なうし、簡単なものにしてしまうと、推測されたり、漏えいしたりするリスクがある。
ソフトバンク・テクノロジーの辻伸弘氏そこで、より認証を強固なものにするため、ワンタイムパスワードを生成するハードウェアトークンを用いた「二要素認証」や、携帯電話のショートメッセージなどでパスフレーズを送る「二段階認証」、PKIに基づく「電子証明書」、あるいは指紋や静脈、顔形といった個人の身体的特徴による「生体認証」などの方法が提案されてきた。
これら認証方式にはそれぞれ、堅牢性やコスト、利便性といった観点から一長一短があると、セキュリティエバンジェリストとして知られるソフトバンク・テクノロジーの辻伸弘氏は指摘する。
「例えばパスワードは、既存システムを改修せずとも導入できますが、パスワードを必要とするシステムが増えるほど、それを利用する従業員の手間が増えてしまいます。またハードウェアトークンは認証を強固にしてくれますが、複数持ち歩くと面倒です。コスト面としても電池切れにも気を付けなければいけません」(辻氏)
ID・パスワード認証の課題とは?
現在、最も広く利用されているパスワード認証について辻氏は、「単体で見た場合、使う側にとっても、使わせる側にとっても、安易な方法です」と語る。
パスワードのみの認証には、いくつかの課題がある。まず、適切な長さと複雑さを持ったパスワードを、従業員に設定させるのが難しい点だ。結果として、推測されやすいパスワードが使われたり、複数のシステムで同一のパスワードが使い回されたりする。このことが、なりすましや不正アクセスの糸口になるのだ。
辻氏はその業務の中で、過去に流出したID・パスワードのリストを検証することも多いと言うが、そこには推測しやすいパスワードが、かなりの割合で含まれているという。
「例えば、『000000』などの安易なパスワードが使われていたり、文字数が7文字以下だったりというケースが多く見られました。一方“アルファベット、数字、記号”という3種類の文字を組み合わせたものは非常に少なかったのです」(辻氏)。
残念ながら企業システムにおいても、安易なパスワードが使われがちだという。「ペネトレーションテスト(脆弱性検査)の一環として、PC内に保存されている情報を基にパスワードの強度をチェックしていますが、やはり『易きに付く』傾向があります。『password01』『password02』『password03』……というケースもありましたし、またActive Directoryで文字数を指定すると、その範囲で最小の文字数を設定していることが多いですね」(辻氏)
安易なパスワードはなりすましを容易に
なぜ、これだけ「パスワードは複雑なものにしよう」と言われているのにも関わらず、安易なパスワードが横行しているのだろうか?
辻氏の見解はこうだ。「ユーザーは何も、不正アクセスされたいわけではありません。単純に“記憶できるパスワードにしておきたい”と考えてのことでしょう」
つまり、増え続けるパスワードを何とか覚え、利用しようとするユーザーの意識が、不正ログインに対する脆弱性を生んでいるというのだ。
生体認証〜「知っているもの」でもなく「持っているもの」でもなく〜
今回とりあげた様々な認証方法は、「あなたしか知らないこと(What you know)」と用いる手法と、「あなたしか持っていないもの(What you have)」を用いる手法に大別できる。だが前者は、誰かに知られたり、推測されたりする恐れがあるし、後者は「もの」を失くしてしまう可能性がある(例えば、ワンタイムパスワードを生成するハードウェアトークンが電池切れしても、失くしたのと同様の事態だと言える)。
一般的にパスワードの文字数は、8文字以上にすることが推奨される。しかしアメリカ国家科学賞を授与された心理学者ジョージ・ミラーは、人が日常的に覚えられる数字などの意味の固まりは、7つが限度だとした。このことは「マジックナンバー7」として知られるが、8文字のパスワードを人が管理することの限界を示すものと言えよう。
そこで、パスワードに代わる認証手段として注目されているのが、「あなたそのもの(What you are)」で認証する「生体認証」だ。本人の特徴がそのまま鍵になるため、他人によるなりすましの可能性は極めて低い。生体認証には、指紋や顔形、音声や筆跡などさまざまな手法があり、手のひら静脈認証もその1つだ。
>>第2回 パスワードの使い回し禁止はもう限界?――リスト型攻撃を防ぐには
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
提供:富士通株式会社
アイティメディア営業企画/制作:ITmedia エンタープライズ編集部/掲載内容有効期限:2015年4月26日
FUJITSU PC セキュリティラボ
ITmediaはアイティメディア株式会社の登録商標です。