盗賊の致命的なミス
「アラビアン・ナイト」の「アリババと40人の盗賊」で、盗賊が隠している財宝をふさぐ巨大な岩を開ける為に発信する合言葉は
「開けごま」
です。
この合言葉ー
- 一度、耳にしたら忘れられないフレーズ
- しかし、言葉の内容は意味不明
という点において、とても素敵です。
しかし、この物語で盗賊は致命的なミスを犯します。
それは「合言葉」を言っている瞬間をアリババに盗聴されてしまうのです。
「開けごま」
と言います。
大きな岩の扉が開き、アリババは盗賊が中に隠していた財宝を奪うのです。
「開けごま」は素敵ですが、その明確な言葉ゆえ、誰もがすぐに記憶出来てしまうのが問題です。
この問題を補う簡単な方法は、合言葉を複雑にすることです。
たとえばー
じゅげむ じゅげむ ごこうのすりきれ
かいじゃりすいぎょの すいぎょうまつ
うんらいまつ ふうらいまつ
くうねるところに すむところ
やぶらこうじの ぶらこうじ
パイポパイポ パイポの シューリンガン
シューリンガンの グーリンダイ
グーリンダイの ポンポコピーの ポンポコナーの
ちょうきゅうめいの ちょうすけ
という合言葉であれば、盗聴されても絶対に覚えられません。でも、覚えるのが大変すぎて、何回も合言葉のミスをしそうです。
金融システムに於けるパスワードのガイドライン
「アリババと40人の盗賊」のように大きな岩の奥で財宝を預かるのは、現代では金融機関に相当します。そして合言葉はパスワードです。
金融システムに於けるパスワードのガイドラインを紹介します。
金融システムの開発というと、SES・派遣エンジニアであれば、
「ヤバい😰」
と感じるでしょう。
統合、分散を繰り返し、システムの規模が大きく複雑で、誰も金融機関のシステムの全体像は捉えていないといわれます。
永遠にシステム開発が続くことから「ITのサグラダファミリア」と揶揄されます。
「FISC安全対策基準」は、AWSを運営するAmazonも協力し、金融システムの導入・運用における業界標準ガイドラインとして位置づけられています。
その基準には「パスワードが他人に知られないための措置」についての記載があります。
パスワード等については、以下の事項を使用者に注意喚起する等の対策が必要である。また、初期設定されるパスワード等についても推測されやすいパスワードを設定しない等の運用によって、漏洩するリスクを軽減することが必要である。
- 推測されやすいパスワードを設定しないこと
- パスワード等を他人に知られないようにすること
- 他人のパスワード等を使用しないこと
- パスワードをメモ等に残した場合、メモ等の盗難・紛失により他人にパスワードが漏洩するおそれがあること
推測されやすいパスワードとしては、以下の例がある。
- 桁数の短いパスワード
- IDと同一のパスワード
- 生年月日、電話番号、住所(地番)、自分の車のナンバー等の個人の生活に関連した情報
- 自分及び自分の知っている人(配偶者、友人、ペット、有名人等)の名前や愛称
- 123456等の単純な文字列や英字のみのものまたは数字のみのもの
- よく使われる英語の単語
- 上記の逆読みやそれらの組合せ
〜「金融機関等コンピュータシステムの安全対策基準・解説書 第9版」より
パスワードは「忘れないかつ第三者にサトラレない言葉」を常に念頭に於いておきましょう。
(パスワード作りのテクニックをこちらで紹介しています)
www.three-wise-monkeys.com
認証の3要素
パスワードに代表される認証方式は人の記憶に依存します。認証する要素としては、記憶のほか、所持と属性があります。この3つを「認証の3要素」と呼びます。
| 要 素 | 認証方式の例 |
|---|---|
| 記 憶 | パスワード認証/暗証番号(PINコード)等 |
| 所 持 | 端末認証/ICカード認証 等 |
| 属 性 | 生体認証(指紋認証/顔認証 等) |
銀行のATMで現金を引き出すとき、ICカードを入れて、4桁の暗証番号を入力します。これは、所持(ICカード)による認証と、記憶(暗証番号)による認証を行なっていることになります。
このような複数の要素を組み合わせた認証を「多要素認証」と呼びます。
物語「アリババと40人の盗賊」で、盗賊が「開けゴマ」を言うとき、センサーが顔を認識して、問題が無ければ、岩が開くとしたら、盗賊はアリババに財宝を取られることはなかったでしょう。
