前回のブログは、情報セキュリティ対策にかけるコストがとりわけ中小企業にとっての経営課題になっていることを書きました。そのうえで、SaaS型のサービスを利用すれば、セキュリティ対策の多くの部分をクラウド事業者で実施することになるので、クラウドサービスを利用する中小企業としてのコストメリットがあると書きました。
www.three-wise-monkeys.com
SaaS型サービスを使えば、セキュリティ対策が不要になるわけではありません。アプリケーションの脆弱性対策まで、クラウドサービスの事業者側で責任を持っていますが、クラウドサービスに投入したデータが、クラウドサービス利用者の管理の不行き届きにより、流出したら責任はクラウドサービスの利用者です。
たとえば、ワークスペースで仕事をしているあなたの背中越しから、攻撃者があなたのパソコンを覗き見して、クラウドサービスにログインするためのIDとパスワードを知ってしまうかもしれません。これは「ショルダーハック」という「ソーシャルエンジニアリング」のひとつです。ソーシャルエンジニアリングとは、人間の心理的な隙やミスにつけ込んで、秘密情報を入手する方法です。
ショルダーハックのようなセキュリティ事故を防ぐため、パスワードは十分な長さと文字種を持つ必要があります。
かってはパスワードは定期的な変更を推奨することが、多くのセキュリティ関連組織から発信されていました。その影響からか、いまでも会社の情報セキュリティ対策として、3か月に1度はパスワードを変更しなければ、システムが使えなくなるような施策をとっているケースが見られます。
パスワードの定期的な変更はかえってセキュリティ事故につながりやすいことがわかっています。NISC(アメリカ国立標準技術研究所)は、2017年に「パスワードの定期変更は不要」というガイドラインを打ち出しました。そして、日本の総務省もその基準にならいました。
利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定することが求められます。~安全なパスワード管理|社員・職員全般の情報セキュリティ対策|企業・組織の対策|国民のための情報セキュリティサイト
パスワードは十分な長さと文字種を持つ必要があるといわれても、その管理を利用者任せにすると、安易なパスワード(生年月日など)を設定する可能性があります。情報セキュリティ対策に十分なコストをかけられない中小企業としては、クラウドサービスを選択する際に、そのサービスのパスワードポリシーを確認することは重要なポイントです。
たとえばA社のクラウドサービスのパスワードポリシーは以下とします。
- 6文字以上
- 数字
- アルファベット(大文字・小文字区別なし)
この場合、数字は0から9までの10種類で、アルファベットは26種類となるので、全部で36種類の文字が使えます。最低、6文字の長さが必要なので、パスワードの組み合わせは、366=2,176,782,336 です。
一方、B社のクラウドサービスのポリシーは以下とします。
- 8文字以上
- 数字
- アルファベット(大文字・小文字区別あり)
この場合、数字は0から9までの10種類で、アルファベットは大文字・小文字を区別するので、52種類です。ですので全部で62種類の文字が使えます。最低、8文字の長さが必要なので、パスワードの組み合わせは、628=218,340,105,584,896 です。
ですので、B社のクラウドサービスは、A社のクラウドサービスの100,304(約10万)倍、パスワードの組み合わせが可能です。その分、B社のクラウドサービスの方が容易に推測がされにくい仕組みとなります。ただ、いくら文字の十分な長さや、複数の文字種が使えても、利用者が00000000のような安易なパスワードを設定したら、ショルダーハック攻撃で簡単にわかってしまいます。
クラウドサービスとして望ましいのは、複数の文字種(数字、アルファベットの大文字と小文字)を混在させなければ、使用できないことでしょう。