先日、山本一郎さんに馬鹿といわれてから彼のことをウォッチしていますが、非常に質の低い記事がアップされていました。
勘違いしてほしくないのは山本さんに馬鹿といわれて腹が立ったということでは全くなく、セキュリティ製品を売っている身として常識的でないことを指摘する必要があるのではないかと感じたこととあと掲載先のYahoo ニュース個人としてもある程度記事の質を担保しなければ、結局やっていることは去年問題になったキューレーションサイトと一緒でアクセスがあればいいのかと疑問に思ったことです。
セキュリティどころか企業のシステム運用について全く知らないのではという疑問
先日、ある記事を山本一郎さんがアップしましたが、そのタイトルにびっくりしました。
「パスワードの定期的な変更」という禁忌を実施してマイナンバー全体がコケる微妙事案が発生(山本一郎) – 個人 – Yahoo!ニュース
私はこのタイトルを見たとき「禁忌」という言葉をみて何が言いたかったのかよくわからなかったのですが、gooの辞書によるとどうも習慣的に禁止するという意味があるのでタイトルから見るとパスワードの定期的な変更をすることを習慣的に禁止されているのにそれを破ったのでマイナンバーのシステムがこけたということを言いたのだろうと思います。
きん‐き【禁忌】 の意味
出典:デジタル大辞泉
[名](スル)
1 忌 (い) み嫌って、慣習的に禁止したり避けたりすること。また、そのもの。タブー。「禁忌を破る」
2 人体に悪影響を及ぼす危険がある薬剤の配合や治療法を避けて行わないようにすること。
まず、タイトルからみると、現状を理解しているとは言えません。確かにパスワードの定期的な変更については意味がないのでないかと疑問を呈している方がいるのは知っています。
ただし、今現在では世の中にあるある一定以上の規模の会社は一般ユーザーのアカウントでさえ定期的なパスワード変更するのが一般的です。おそらくYahoo Japanでもパスワードの定期的な変更を実施しているだろうと思います。
私はある程度の規模の会社でパスワードの定期的な変更を実施していない企業については残念ながら知りません。もしかすると山本さんはそのような企業を知っているのであれば是非とも紹介してほしいものです。
システムのデフォルトがパスワード定期変更がオンになっている
多くの企業ではWindows のActive Directory(以下 AD)を利用しています。
AD上にアカウントを作成し各ユーザーはそちらで設定されたパスワードを入力してシステムを利用しますが、デフォルトでパスワード変更期間が決められています。
デフォルトで決められたものをベースにシステム運用を考えるため、Windows ADを使っている多くの企業ではパスワードの定期的な変更の設定をしているだろうと思います。
なぜWindowsでそのような設定がデフォルトになっているかはただ単純にマイクロソフトが決めたからといった理由だけではありません。
セキュリティのレギュレーションがある
各業種/業界ごとにセキュリティ対策をしなさいと通達があります。日本は比較的甘いですが、海外だと非常に厳しいものもあります。
このレギュレーションを守らないとその国でその業種でのビジネスができなくなります。ひとつひとつのレグレーションについて解説するのは割愛しますが、そのほとんどのレグレーションでパスワードの定期的な変更が推奨されています。
日本の例で挙げると個人情報保護法の観点からも定期的なパスワード変更は推奨されている。
個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン (平成28年12月28日厚生労働省・経済産業省告示第2号) P.37 より引用
*ID とパスワードを利用する場合には、パスワードの有効期限の設定、同一又は類似パスワードの再利用の制限、最低パスワード文字数の設定、一定回数以上ログインに失敗した ID を停止する等の措置を講じることが望ましい。
ここでは望ましいと書いてあるが、その条件を満たしたほうがよい。
ある一定規模の企業や組織は個人情報を扱っているので、その条件を守るように運用している。またそれらの企業と付き合いのある中小企業でもプライバシーマークなどの取得しないと取引ができないことが多いので多くの企業でパスワードの定期的な変更をしているだろうと言えます。
またマイナンバーシステムは個人情報を扱うので少なくても今の日本ではシステムの定期的なパスワード変更は推奨されています。
パスワードの定期的変更は意味がない?
山本一郎さんはパスワードの定期的な変更が全く意味がないという主張を以前にしています。
「パスワードの定期的な変更を押しつけるのはやめよう」という話が英米の政府機関レベルで盛んに(山本一郎) – 個人 – Yahoo!ニュース
この記事では二つの記事を引用して私がいままで聞いたことがないようなことを主張します。
パスワードを定期的に変更させるシステム仕様には問題がある(Gigazine 16/5/1)
【やじうまWatch】「パスワードの定期変更をユーザーに求めるべきではない」……NISTの文書でついに明示へ(INTERNWT Watch 16/6/27)
パスワードの定期的な変更という運用方法の是非については、ここ数年ネット民の間で小さからぬ話題でしたが、概ねセキュリティクラスタな人々の間では効果がないので無駄だという意見が主流であり、ある意味で結論ともなっていました。
先の項目で挙げた通り、パスワードの定期的な変更がここで技術的に意味がないといったところでいろいろな決まりの中でパスワードの定期的な変更が推奨されているのにそれをあげて何が言いたいかは私はよくわかりません。
またここでパスワードの定期的な変更が脆弱性になるといった例もあげていますが、運用で解決できる問題です。使うパスワードの複雑性はパスワードポリシーで設定することで単純なパスワードは利用させないようにすることもあります。
また、実際に製品としてランダムでパスワードを生成しターゲットの機器に対してそのパスワードを設定する製品もあります。具体的に言えば私の会社で扱っている「AccessMatrix™ Universal Sign-On (USO)」があります。
また最近だと特権アカウント管理といった分野が出てきており、実際にシステムを利用するごとにパスワードを変更します。世界的には一般的なソリューションになりつつあるので日本でもきっと一般的なソリューションになるだろうと思います。
技術的にはともかくビジネス的な観点から見るとパスワードの利用とそれを守るためのパスワード変更は求められているので、パスワードの定期的な変更が不要になるのはずいぶんと先の話になるだろうと思います。
山本一郎さんがあげた記事は定期的なパスワード変更はいま常識としてとらえれれているが、技術的に意味があるのか問題提起のためのものだと私は思っています。
技術的な意味を知りたい人は
個人的には技術的に考えてもパスワード変更は意味があると思います。
先日ツイッターをしていたら武田圭史さん(@keijitakeda)という方がパスワードの定期的変更について考察していることがわかりました。
最後に
私はここで一番言いたいのは誰が何を言ったかではなく、おかしいと思ったところがなにか説明したいと思ったところです。
一番私が問題だなと思うのはこのような内容はYahooやその親会社のソフトバンク、また彼らが取引している多くの企業がパスワードの定期的変更をしている可能性が高いのに「パスワードの定期的な変更」という禁忌を実施してマイナンバー全体がコケる微妙事案が発生(山本一郎) – 個人 – Yahoo!ニュース といったパスワードの定期的変更が問題であったと主張する記事をアップしたのかというところです。
もしかしてYahoo Japan とかソフトバンクはパスワードの定期的な変更をしていないからこのような記事が上がったのか、Yahoo ニュース個人 は個人に責任があるのでYahooとしては責任が全くないと考えているのかなと思います。
もし、後者であるとすれば、それは昨年批判されたDeNAのキューレーションサイトと同じようにアクセスが上がれば何でもいいという考え方を非難できないのでないかと思います。
「山本一郎さんの「パスワードの定期的な変更」についての考えをみてYahoo ジャパンのクオリティについて疑問を持つ」への2件のフィードバック