• 会員限定
  • 2016/04/27 掲載

新入社員にも伝えたい! Web/メールセキュリティで疑った方がいい「3つの常識」

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
記事をお気に入りリストに登録することができます。
この時期、新入社員研修の真っただ中、という企業も少なくないのではないだろうか。近年はビジネスマナーや基礎ITスキルに加えて、情報セキュリティやコンプライアンスに関する研修や教育プログラムを取り入れるところが増えているとも聞く。そこではWebサービスのパスワード管理やメール送付のポリシー、個人情報の扱いなど、「情報セキュリティの常識」を教えることになる。今回は、新入社員はもちろんのこと、ビジネスパーソンのセキュリティ意識を高めるために、セキュリティの常識や定説となっている事柄をあえて疑ってみたい。
photo
Web/メールセキュリティで疑うべき3つの常識とは

セキュリティの常識は時代とともに変わる

 「パスワードは使いまわすな」「不審な添付は開くな」などはよく耳にする言葉である。情報セキュリティに関して、常識として定着しているポリシーや運用方法だ。

 これらには一定の根拠があり、専門家や世間の評価を反映しながら確立されている。その意味で内容の合理性はあり、たとえその理由を知らなくても実践すれば一定の効果も期待できるだろう。その一方で、なんとなく言われ続けているが、「なぜそうなのか?」という根拠が微妙なものもある。

 とりわけ情報セキュリティの場合、社会情勢、技術の変化から過去の常識が通用しなくなることが多く、古い常識やポリシーを深く考えず運用することは、手段を目的とする愚に陥りやすい。

 そこで、一般的に流布されているセキュリティの常識とされるもののうち、本当にセキュリティを高められているのか専門家から疑問を呈されているもの、あるいは運用に条件がつくような3つを挙げてみたい。

1. パスワードの定期変更は効果的か

関連記事
 パスワードクラッキングやアカウント情報の漏えいへの対策として、「ひとつのアカウントで同じパスワードを使い続けない」という方法がある。多くの企業で、定期的なパスワード変更を義務付けたり、ベンダーもシステムのアカウント管理にパスワードの有効期限を設定できるようにしたりと、一般にも浸透している。

 しかし、このパスワードの定期変更が効果的かどうかは、一部のセキュリティクラスタでは、長期にわたり議論されている問題だ。

 確かに、アカウント情報が漏えいしても、違うパスワードになっていれば不正アクセスを防止できる。しかし、定期的なパスワード変更の強要は利用者の負担となり、かえって解読されやすいパスワードを増やす懸念がある。

 また、暗号解読方法のひとつで、可能な組み合わせを全て試す「ブルートフォース攻撃(総当たり攻撃)」のような場合、パスワードの変更そのものがあまり意味がないのでは、という疑問もある。

 あるいは頻繁に使われるパスワードを「辞書」的に登録し攻撃に利用する「辞書攻撃」の場合も、アルゴリズムが多岐にわたるためパスワード変更がどの程度クラッキングを防げるか定量的な評価は難しい。極端な例としては、変更したパスワードが偶然、最初のブルートフォース攻撃の候補にヒットする可能性を高めてしまうこともあるわけだ。

 このような観点から、近年はパスワードの定期変更は、かかるコストや負担ほどリスク回避に貢献しないのではと、否定的な意見が増えている。

 最近では米国の連邦取引委員会(FTC)のCTOローリー・クレイナー氏がブログでこの問題を指摘して話題となった。ただし、否定派の意見でも、運用上複数の人間とパスワードを共有するような場合、定期変更の意味はあるとしている。

 いずれにせよ、アカウント情報が漏えいした場合、その可能性が発覚した場合は、「定期ではなくオンデマンドでパスワードを変更する」必要があることはいうまでもない。

【次ページ】ZIPファイルのパスワードは別送すべき?

関連タグ タグをフォローすると最新情報が表示されます
あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます