パスクリ通信をご覧の皆さん、明けましておめでとうございます。
今年もパスクリ通信では認証セキュリティに関するニュースや情報をお伝えしていきますので、よろしくお願いします。

 

さて、今回は年始一発目の掲載ということで、2020年の年頭所信表明として「今年こそ『固定パスワード』をやめよう!」というご提案を、日頃セキュリティで頭を痛めているオフィスのネットワークシステム管理者の方に向けて、前後編の2週に分けて書かせていただきます。
「固定パスワードをやめよう!」と言っても、認証を使う側=利用者側では、サービス側がパスワード認証しか用意していなければ、利用せざるを得ません。ですので、これはあくまでも認証システムを提供する側にむけたメッセージになります。
また、ビジネスではなく、プライベートで利用するサービスでは、パスワード認証はまだまだなくならないでしょう。とはいえ、利用する側の方にとっても、認証セキュリティを考えるきっかけになりますので、ぜひご覧ください。

あなたの会社では、いまだにどのくらいの「固定パスワード」を使用していますか?


<前編>固定パスワードをやめるべき理由


全ての利用者に安全なパスワード管理をさせることは無理!
昨年は、キャッシュレス決済がらみの一般報道でも、不正アクセスによる被害がかなり取り上げられ、一般消費者の意識も高まり、「固定パスワードの安全性」について考えさせられたのではないでしょうか。
しかし、それはパスクリ通信の読者も含む、ごく一部のセキュリティ意識の高い方だけ。多くの方は「固定パスワードが危ない」ということを聞いたことはあるけど、「まさか自分は狙われないだろう」「大丈夫だろう」と、実際に自分が被害に遭わない限りは、危機回避のための行動を起こさないものです。
「安直なパスワードを使ってしまう」ことで、「パスワードに使われやすい文字列のリスト」を使った辞書攻撃の被害に遭うことや、「同じパスワードを使い回す」ことで、どこかのサービス事業者から漏れたパスワードリストを使った「パスワードリスト攻撃」の被害に遭うことのリスクは実感していません。
どんなに厳しく「安直なパスワードをさけ、同じパスワードを使いまわさない」と指示をしても、10人の社員がいれば、多ければ半数、少なくても2〜3人は、それを強制的に排除させられない限りは、危機的状況を改めようとはしないものです。

今の時代、固定パスワードでログインするWebサイトやアプリだらけなので、2〜3個しかそういうサービスを使ってない、という人はまず皆無だと思います。
少ない人でも5個や10個は当たり前、普通なら20〜30個くらいは平気であるはずです。

「安易なパスワードを使ったり、パスワードを使い回す」のは固定パスワードを使うサイトやサービスがたくさんあるから
20〜30ものサイトやアプリで、安直ではなく、使いまわしではないパスワードを使うのは、記憶だけではまず不可能です。それぞれのパスワードを紙とかテキストファイルとかエクセルファイルなどに記録しておくか、「パスワード管理アプリを使う」くらいしか方法がありません。
システム管理者の方は、一度、利用者がどのようにパスワード管理しているかを調べてみてはいかがでしょうか。上記のような管理をしていない人は、パスワードを使い回している人、と言っても過言ではありません。
社内システムを危機にさらし、機密情報を漏洩する恐れのあるこのような人が、社員の1割いたとして、社員1000人の会社なら100人もいるのです。
そして、1件の事件で、会社全体が危機にさらされるのです。

「働き方改革」でさらにリスクが高まる固定パスワード認証
働き方改革の推進により「テレワーク」に対応するということは、様々な端末からの社内ネットワークへのアクセスをある程度許容するということです。
VPNによるリモートデスクトップ接続などで、通信を保護しても、VPNへのログイン自体を不正アクセスされてしまうと、社内ネットワーク全体に危機が訪れてしまうのです。しかも、VPNへのアクセスはインターネットから行われるのです。この状況において固定パスワードだけで社内ネットワークを守るというのは無理があるとは思えませんか?


自分ひとりならなんとかできますし、被害があっても限定されています。しかし、組織のシステムにおいて、大勢のスタッフ全員に100%確実な運用をしてもらうことが可能と言い切れないのが、固定パスワードの限界です。

アンダーグラウンドなインターネット世界では、漏洩したパスワードリストが流通してます。また、気づかれないようにゆっくりと、多くのターゲットに総当たり攻撃を仕掛けるツールも出回っています。
いつ不正アクセスが起こってしまうのかわからない状況だからこそ、少なくとも「固定パスワードから脱却する」ことが、テレワーク時代を迎えたシステム管理者に課せられた責務と言えるのです。

「今年は、まず固定パスワードをやめる!」
まずは会社の安全なネットワーク管理は、ここから始めましょう。


では固定パスワードをやめて、どんな認証にすればいいのか・・・。
それについては次週の「後編」で書きたいと思います。