富田直美氏の記事とパスワードの定期変更の意味の考察
ベネッセ問題に見る日本のITセキュリティ対応の未熟さ|富田直美 真説・IT考|ダイヤモンド・オンライン
| これらいずれの企業においても、またその後私が直接参画した数社のIT企業でも、企業内ネットワークにアクセスするためのパスワード変更を最低3ヵ月に一度は行うことを余儀なくされていた。
それも、十数年前は4~5桁の簡単なパスワードでよかったが、最終的には8桁以上で、大小ローマ字、数字、記号等全てを含む難解なパスワードを生成するように指示され、指示に反すれば、パスワード登録すらできない仕組みとなっていた。 日本でもITセキュリティにうるさい本物のCIO(Chief Information Officer)やCISO(Chief Information and Security Officer=情報・セキュリティ最高オフィサー)のいる企業では、このようなことは当たり前になっているのかもしれない。 私がここで強調したいのは、ユーザー個人の努力で対応できる一番入り口に存在する「パスワード」でさえも、日本人および企業の認識とリテラシーは著しく低いということだ。 誰だって、生命の危険とは無縁そうに見えるパスワード位は憶えやすい簡単なものを選ぶだろうことは、容易に想像できる。だから命の次に大切? な銀行カードではパスワードでなく、指紋認証、顔面認証等々本人のユニークさ(唯一無二の意)で認証するシステムの導入が始まっているが、企業内ネットワークへのアクセスでは、明らかにセンシティブと思われる範疇のデータを扱う部署以外では、そこまで真剣に対応していないのではないか…。 |
この記事では自分の関わったすべてのプロジェクトではパスワード変更を定期的に行うことが当たり前だった点を挙げて、それが当たり前という立場から、パスワードの設定の仕方について言及している・ω・(なんじゃそれは?)
そもそも、パスワード変更をする意味があるかどうか検証したのが先のブログ記事である
誰も書かないマイレージのパスワードが数字の理由と航空会社がすべき事
個人の場合、はっきり言って、異なるサイトで、パスワードを使いまわしているのでなければ、パスワードを定期的に変更することには全く意味はない。
では、そもそも、IT業界で、定期的なパスワード変更が必要なのはどんな時だったのかを考えてみることにしよう。
・複数のユーザーで管理しているようなマスターログインパスワードがあるような場合。
・共有フォルダなどの資産へのアクセスパスワード。
これらは、定期的に更新することによって、定期的にプロジェクトから外れたユーザーが、アクセスできてしまうのを防ぐことができる。変更時に、アクセスが必要なユーザーに新しいパスワードを通知すればよいのだ。
多分、これが、個人のパスワード定期変更にも有効なんじゃないかと勘違いした人が広めてしまったのが原因なんじゃないかと思う。
正直言って、定期的にパスワード変更を強いられると、かえって覚えやすいパスワードを設定してしまう人が増えるため、逆効果である ・ω・
ちなみに、ベネッセの データベースアクセスによる情報漏えいは、業務中にアクセスされたので、ベネッセが適切な権限設定を行っていなかったか、ちゃんとした監査を行っていなかった(ログは取っていたが、チェックはしていなかった)のが原因なので、パスワードの定期変更は全く関係がない。
富田直美さんは何が言いたいのだろう・ω・
Translate
Security=Account
という事では?
ベネッセが云々ってのは、件の方は眼中にない気がします。
(元々は「ベネッセの一件」で書いてたつもりだったけど、Accountとごちゃまぜになったようにも思えます。)
余談ですが、ベネッセはオラクルのデータベース使ってるようですね。
Security=Account
という事では?
ベネッセが云々ってのは、件の方は眼中にない気がします。
(元々は「ベネッセの一件」で書いてたつもりだったけど、Accountとごちゃまぜになったようにも思えます。)
余談ですが、ベネッセはオラクルのデータベース使ってるようですね。
違う系統の問題を同列の問題にしちゃってますね。
ベネッセの問題は設定ミスであってパスワード云々は関係ないですし、監視システムは個人レベルで使えるような代物じゃないですし。
企業内や業務での話であればおかしい内容でもないのに、なんで個人レベルの話まで一緒にしちゃったんでしょうね。
違う系統の問題を同列の問題にしちゃってますね。
ベネッセの問題は設定ミスであってパスワード云々は関係ないですし、監視システムは個人レベルで使えるような代物じゃないですし。
企業内や業務での話であればおかしい内容でもないのに、なんで個人レベルの話まで一緒にしちゃったんでしょうね。