以前に努めていた会社はプライバシーマークを取得していました。わたしはその会社で「個人情報監査責任者」という役割でした。
「個人情報監査責任者」は内部監査を指揮する役割で、個人情報保護管理者の仕事をチェックします。代表取締役や個人情報保護管理者は、個人情報監査責任者を兼務することはできません。
内部監査では従業員に対し、個人情報を適切に取り扱っているかを定期的にチェックシートに記載をして、提出するようにしていました。セキュリティ上、チェックするべき項目は「帰宅時にクリアデスクをしている」など、多岐にわたります。
プライバシーマークを取得するには、社内システムが取得基準となるセキュリティ要件を満たしている必要があります。そのなかで、社員にとって苦痛(不評)だったのがー
- パスワードは定期的に変更され、変更されているかチェック機能がある。
という要件でした。
「定期的なパスワード変更」のセキュリティ要件を満たすため、社員がWindows PCへログインするパスワードは、30日毎に強制的に変更し、同じパスワードの再利用が出来ない仕組みとなりました。
30日はあっという間です。特にSESエンジニアとして、お客様企業に常駐している社員は、自社のパソコンにログインする機会はあまりありません。極端に書くと、パソコンを起動する度に、毎回パスワードを変更することになります。
パスワードを定期的に変更するメリットは、攻撃者にパスワードが漏れても、不正アクセスのリスクが軽減できることです。個人情報を安全に管理するうえで、必要な要件だったのでしょう。
しかし、定期的なパスワード変更は、社員に不安を与えます。パスワードは人間の記憶による認証ですので、記憶を失えばログインの認証が出来なくなります。
皆さんは昨日の夜、食べたものを覚えていますでしょうか?一昨日、食べたものを覚えていますでしょうか?
パスワードを記憶しなければならない不安感から、社員は有効なパスワードを付箋紙に記載してパソコンに張り付けたり、個人スマホのメモに記録したりするようになりました。これは当時、どの会社でも起きたことです。しかし、これをすると安全なはずのパスワードの定期変更が、危険なものとなります。パスワード書いた付箋紙がふわふわ~と、どこかに行ったりしたら・・・もう、ヤバいことです。
憂慮したNIST(アメリカ国立標準技術研究所)は、2017年に「パスワードの定期変更は不要」という、従来のガイドラインを180度転換する考えを打ち出しました。そして、日本もその基準にならいました。
利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定することが求められます。~安全なパスワード管理|社員・職員全般の情報セキュリティ対策|企業・組織の対策|国民のための情報セキュリティサイト
パスワードは、しっかり覚えられる充分な長さと文字種もった値が推奨されます。
そこでパスワードの一種なのですが、パスフレーズと呼ばれる、10文字以上のフレーズを組み合わせて作ること方法が推奨されるようになっています。使うフレーズは、ご自身が絶対に忘れない言葉(文)です。パスワードより多くの文字で構成されるため、ブルートフォース攻撃(総当たり攻撃)の対策となります。
たとえば「やっぱりカープはナンバーワン!」というフレーズであれば、わたしは100%忘れない自信があります。これをパスフレーズにすると「yappariCARPwaNO1!」となります。全部で17文字のパスフレーズです。
仮に使えるパスワードの文字種が、英字(大文字・小文字で52文字)、数字(10文字)、記号(33文字)とすれば、95文字がパスワードに使える文字数です。
これを一般的に安全とされるパスワードの桁数(8文字)で、パスワードの組合せを計算すると、95の8乗ですので、6,634,204,312,890,620 通りあります。これはこれですごい数ですが、17文字のパスフレーズですと、95の17乗ですので、4,181,203,352,191,770,000,000,000,000,000,000 通りになります。これは、8桁のパスワードの 630,249,409,724,609,000 倍の組合せです。
ブルートフォース攻撃で、パスフレーズを紐解くのは至難の業だとわかります。
