前編に続き、セキュリティ専門家の間でも議論が分かれる「パスワード定期変更問題」について、ソフトバンク・テクノロジーの辻 伸弘氏と、セキュリティ業界の御意見番でもあるHASHコンサルティング 代表の徳丸 浩氏に話を伺った。
前編はこちら
定期変更の由来はUNIX時代にさかのぼる?
前編では、パスワードが悪用される手口を踏まえた「パスワードの問題点」を洗い出した上で、安全なパスワードの作成・管理方法について語ってもらった。後編では、ネット上でくすぶる「パスワード定期変更問題」と、「一般ユーザーにどのように啓蒙すべきか」について議論した。
三上 : そもそも、「パスワードは定期的に変更すべき」という考え方はどこから始まったのでしょうか?
徳丸氏 : 歴史的にはパスワード定期変更って効果があったんですよ。UNIXの時代にユーザー全員がパスワードのハッシュ値を見られる時代があって、「時間をかければ解けるから、定期的に変更したほうが良い」と言っていたんです。
大昔のDebianなどを見ると、確かに全員が見られる状態だったのです。「それは危険だから」ということで、管理者しか見られないファイルタイプ(/etc/shadow)に変わりました。
その頃の慣習が残ってるのかなと思っていたら、知らないうちに「漏えいするから定期変更するべき」という話になっていました。例えば、「フィッシングサイトで盗まれて、悪用されてることに気づかず、タイムラグで攻撃してくるのでは」という想定です。
これはつまり、パスワードを盗み取った犯人が、何らかの理由でそれを放置し、数カ月後に再度アタックしてくるというもので「定期的な変更しておけば、防げる場合もある」という論法です。もちろんこのケースでは効果があるんですが、そもそも「もっといい対策案がないのか」という話になりますし、「確率論として、本当に放置するケースが多いのか」ということになります。
パスワード漏えいの経路という問題もあります。ウイルスによる漏えいであれば、システムが感染しているため、「パスワードを変更しても再漏えいする」という話になります。
ただ、「大抵のケースで(定期変更の)効果がないことはない」とも言えるんです。
定期変更以外のことに労力を費やそう
三上 : 効果がないことはないけど、複雑なパスワードの設定といった、「ほかの手間をかけたほうが良い」ということですか?
徳丸氏 : そうですね、「他のことに労力を費やそう」と言っています。もちろん、二段階認証と定期変更のカバー領域はちょっと違うし、対応できない微妙な領域もあるのですが。
辻氏 : 定期変更に効果があるかと聞かれたら「あることもある」だし、「ないときもある」。つまるところケースバイケースなんですね。
定期変更に効果があるケースは「パスワードの使い回し」が行われている場合なんですが、先ほど徳丸さんがおっしゃったように、「今日漏れたものを攻撃者がほかのサービスですぐに試すのか、数カ月経って試すのか」というタイミングに依存します。
ただ、このケースを現実的に考えると、定期変更よりも「パスワードを使い回さない」方に労力を割いた方がいいんじゃないかということになります。ネットで利用するサービスは色々あるので、全てを定期的に変更するのは大変ですよね。つまり、労力対効果を考えた上での優先順位の問題なんです。
数年前に定期変更の話題が始まった時、Twitterで「変更の期限」について「30日が望ましい」「いや、90日」「なんとなく思い立ったら」といったバラバラな意見が見られました。要は「そうだ、京都へ行こう」というような”イメージの話”であって、いつ京都へ行くかなんて人それぞれですし、定期変更を定義づけることは難しいと思っています。
徳丸氏 : 「パスワードの有効期限決めろ」というのは、その期限の話が発端でした。
辻氏 : 定期的に変更する・しないの話は、「時々」「たまに変える」は効果があると思いますよ。時々変えるのは、「気が向いたら」ということなので、作業負担になりません。変更するタイミングは、正直なところ「漏えいした事実に気付いたら」でも問題ありません。そういえば、キャッチフレーズは今「そうだ 京都は 今だ」になっているようでして、漏えいに気付いたり、漏えいの発覚が報じられたときはこのキャッチフレーズのようになりますね。
前編で挙げたリスト型攻撃を例に考えてみましょう。リスト型攻撃は、「サービスAから漏れたID・パスワードをサービスBに使う」「サービスAから漏れたID・パスワードをサービスAに使う」という2パターンが考えられます。前者は定期変更よりも、使い回しをやめることが最も優先的な対策の例です。
後者については使い回しをしている・していないは関係ありません。この場合、ユーザーはログイン履歴などの確認でしか漏えいを知る術がありません。このケースは、サービス事業者が定期変更をユーザーに求める前に、「ユーザーが気付ける仕組みを用意する」ことが重要なんです。そうした仕組みを用意せずに定期変更をお願いしていたとしたら、それはユーザーへの責任転嫁ではないかと考えています。
結局、パスワードの使い回し、定期変更のどちらとも、ユーザーはしんどいんですよ。ただ、「漏えいしてなくても、ちょいちょい変えましょう」なんて作業よりも「使い回しやめよう」とした方が、ユーザーが楽で、なおかつセキュリティ的にも一定のレベルを担保できるんです。
情シスが「定期変更」について考えるべきコト
担当編集 : 企業内システムではどうでしょうか? 定期変更はやった方がいいという意見もあるようですが。
辻氏 : 組織のポリシーにしたがってとしか(笑)。もちろんポリシーを変更するということも視野には入れてほしいですが。セキュリティ認証・資格によっては、定期変更を求められるケースがあります。クレジットカードのセキュリティ基準であるPCIDSSの場合、90日という規定がありますね。これは、クレジットカード情報を扱うシステム上のセキュリティ要件であってそれ以外の一般社員や、サービスを利用する一般のクレジットカードユーザーには無関係ですが。
組織内での定期変更は、盗まれたとしても、盗まれ続けない効果はありますね。なりすましを続けられないから。
徳丸氏 : ショルダーハッキングの対策にはなりますね。オフィス内は誰がどこにいるかわからないですし、定期変更のタイミングでストップできるなら、個人のサービス利用と違って効果はあります。ただ、盗まれない効果はタイミング次第としか言えません。なので、誰がどこにアクセスしたかというログ管理や、カード認証などで対策する方がいいと思います。
結局、パスワード変えた瞬間に見られたら定期変更の効果はないんですよ。それであれば、パスワードを長くしたり、文字列を複雑にした方が有効です。
辻氏 : 定期変更していなかったから被害に遭い続けた例があることは確かです。大阪で、人事評価の資料を盗み見していた事件がありましたが、犯人は上司の職員番号や生年月日、名前などからパスワードを推測していました。2007年からスタートし、発覚したのは2013年でした。パスワードを変更していれば、見続けられたのを防げたかもしれません。
ただし、これは推測できるパスワードを使っていたのが問題であり、定期変更がどうこうよりも、やっぱりパスワードを複雑にすることが重要だったんですね。
徳丸氏 : 確かに定期変更が有効なケースはあります。ただ、多くの人が”過剰な期待”を定期変更にかけているんです。「侵入されにくくなる」「破られにくくなる」という期待をしている人がいます。私は「定期変更」をGoogle Alertに登録しているんですが、「パスワードの定期変更は侵入対策として有効」という記事を見かけます。「それは違うよ」と思うものの、記事を書いた方にはなかなかリーチできませんからね。
だから、「パスワード変更は、漏えいした後の事後対処なんだ」と伝えたいんです。漏えいした場合、漏れ続けるのを一定期間で止められるから、定期変更をやりたいのであればやればいい。面倒なことなんですけどね。
(編集部注) IT Search+で編集記事を1日2ページ以上閲覧する際には、会員登録・ログインが必要になります。会員規約にはパスワードの定期変更を必須とする旨が記載されていましたが、本稿の内容を踏まえて変更を行いました。詳しくは会員規約と7月20日付のお知らせをご覧ください。