「秘密の質問」は欠陥品？ 正しい使い方とは：萩原栄幸の情報セキュリティ相談室（2/2 ページ）

[萩原栄幸，ITmedia]

そもそもの意義とは？

　よく考えてみたい。そもそも「秘密の質問」とは、どんな存在なのだろうか。筆者は「パスワードの一種」だと考えている。

　たいていの人は「意味のない文字列のパスワード」を記憶できない。それなら、パスワードに少しでも意味を持たせてみる。こうすることでアカウントなどを復旧する時に、「秘密の質問」を頼りに本人であれば、すぐに記憶をたどって質問に対する答えを入力できる。つまり、広い意味では「パスワード」であることに変わりはない。

　Googleのレポートをみて筆者が驚いたことは、「秘密の質問」に答えた数億ものユーザー、そして、分析をしたGoogle自身が、とても「素直」であるという点だ。

　人によっては、インターネットで使うIDやパスワードが既に100種類を超えている。この全てを意味のないランダムな文字列にして管理することは、もはや不可能だろう。パスワードリスト攻撃が危険なので「パスワードの使い回しをやめよう」といくら叫んでも、一向に改善しない。それは、「人間とは忘れる動物」だからである。

　さらに日本語は難しい。例えば、「あなたの生まれた都市はどこですか？」という秘密の質問の答えが横浜だとしても、文字としては「横浜」「よこはま」「ヨコハマ」「yokohama」「YOKOHAMA」「Yokohama」と、幾らでもある。登録時の気分でどう入力したのかを覚えていない場合もあるだろう。試行回数を超えてしまってロックされた経験を持つ人も多い。

　「秘密の質問」へ素直に答えて悩むような事態が起きるなら、どうすればいいか。簡単である。“秘密の”というフレーズを無視すればいい。筆者がアドバイスした知人は、「秘密の質問」への答えを次の考え方で工夫した。

• 「秘密の質問」は単なるパスワードである
• 質問の種類は何でもいい。任意に選択する。例えば、「母方の旧姓はなんですか？」にする。
• この質問の答えは、以前に紹介したセキュリティレベル「ランクC」に相当するもの。答えの種類は1つだけにする。1種類だから質問には全く関係のないフレーズになり、例えば「私は富士山が好き」でよい

Aランク：金銭に直接関係する最重要なもの

Bランク：業務に関連するもの

Cランク：影響度「中」、個人的には「大」と思ってしまうもの

　あとはどのWebサイトであっても、どんな質問であっても答えは1つでいい。上の例なら、「母方の旧姓はなんですか？」との質問に「私は富士山が好き」と入力するだけ。これが正解だ。質問の内容と回答の内容が合わなくてもいい。答えが“単語”として登録されている以上、それが正解である。

　ただし注意点が2つある。1つは絶対に口外しないことだ。デジタル情報で保存もしてはいけない。ただし、紙にメモ書きして、誰も知らない場所に保管するなら構わない。もう1つは、Webサイトによって1バイトコードしか使えないケースである。「私は富士山が好き」とは別の答えを用意し、例えば、1バイトコードで最大16文字しか入力できないWebサイトなら、「watashiwafujisan」とする（16文字なので途中まで）。

　いかがだろうか。このように対応しておけば、「秘密の質問」を突破されてしまう確率は相当に下がるだろう。何よりユーザーが覚えやすい。しかも、Webサイトごとに答えを変える必要はない。質問の内容と答えの文字を合わせる必要が全くないからだ。なお、以前に紹介したネットバンキングなどセキュリティレベルが「ランクA」のところでは別のフレーズが望ましいだろう（ただし「秘密の質問」はあまり聞かれないが）。だまされたと思って、ぜひ一度は試していただきたい。

　「好きな食べ物はなんですか？」との質問に、素直に「ピザ」と答える人はステキな人なのだろう。しかし、それで情報が漏えいしても個人の責任としかいいようがないのである。

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。