叡智の三猿

〜森羅万象を「情報セキュリティ」で語る

当サイトは、アフィリエイト広告を使用しています。
トップ > マイ575 > 仕事始めの朝、パスワードが思い出せない

仕事始めの朝、パスワードが思い出せない

マイ575 認証(記憶・所持・生体) 情報の機密性(暗号化・アクセス制御) サイバー攻撃

明日から仕事です。

仕事始体も心も重たいな(スロトレ)

今年の年末年始休暇は9日間と比較的長期でした。冬休みのはじめころは、去年までの仕事内容をはっきりと意識してました。去年のわたしは、積み残した仕事は来年に片づけていく計画があったのですが・・・休みを重ねる毎に怠惰な心が支配します。いまや完全に昼夜逆転の生活になってしまいました。

さて、情報システムの仕事で休暇明けに多く発生するのが、「パスワード忘れ」による利用者からの問い合わせ対応です。

長らくシステムを使わないでいると、慣れてるはずだった、IDとパスワードによるログインをしようとするも…

「あれ❓️いままでパスワード、何を入れていたか、忘れた‼️」

という人が結構います。

いまの企業システムは複数のクラウドサービスを使い分けるのが当たり前です。

情報セキュリティ対策として、企業はパスワードリスト攻撃への備えを推奨してます。パスワードリスト攻撃は、インターネット上で提供されているサービスに不正にログインするための攻撃手法のひとつです。攻撃者は何らかの方法で入手したIDとパスワードの組み合わせのリストを用いてログインを試みる攻撃です。

そのため、企業は利用者に対して、ID、パスワードはなるべく共通のものを利用しないよう注意喚起してます。

裏を返せば、利用者は複数のパスワードをシステムによって使い分ける必要があります。

毎日、システムにログインしていれば、脳というより手がパスワードを勝手にキーボードに入れている感覚になるのはイメージしやすいと思います。

パスワードの取得は基本的に「手続き記憶」のひとつとされてます。「手続き記憶」は水泳や楽器の演奏、タイピングのような体で覚える「技能」や「手順」に関する記憶です。繰り返し練習することで身につき、忘れにくく、無意識に自動でできる特徴があります。

しかし、長期間、ログインしないとふとパスワードを忘れてしまうことがあります。複数のシステムで似ているけど微妙に違うパスワードを使っていると、パスワードに関わる記憶が混ざりやすくなります。

利用者があれやこれやと、記憶しているはずのパスワードを試行すると、システムは不正アクセスとみなしてアカウントロックアウトをします。多くのシステムでは 3〜5回の失敗でロックがかかるはずです。

このとき、ロックアウトが発生するたびに、システムの種類によるのですが、情報システム部門・・・特にヘルプデスクが一件一件利用者からの対応をしなければならないケースがあります。

ロック解除にあたっては、本人確認の手間 もかかります。情報セキュリティ上、電話や対面で本人確認を行う必要があります。社員証番号の確認、秘密の質問、上長への確認など、確実な本人確認をしようとすると、時間がかかります。それが、年始の仕事始めや月初、システムメンテナンス明けなど、ロックアウトが集中するタイミングでは、ヘルプデスクに問い合わせが殺到し、対応待ちの行列ができてしまいます。

こうした情報システム部門によるアカウントロックの対応は「管理者解除型」に分類されます。

ここにかかるコストを減らす為、「時間ベースのロックアウト」や「段階的制限」を導入するシステムも多くあります。

時間ベースのロックアウト

時間ベースのロックアウトは、ログイン失敗が規定回数に達すると、アカウントが一定時間自動的にロックされる方式です。ロック時間は15分から数時間程度が一般的で、時間経過後は自動的に解除され、再びログインが可能になります。この方式のメリットは、正規ユーザーが誤ってパスワードを間違えた場合でも、待つだけで自己解決できる点です。管理者(情報システム)の介入が不要なため、ヘルプデスクの負担が軽減されます。一方で、攻撃者も時間経過を待てば再び攻撃できるのがデメリットです。

段階的制限

段階的制限は、ログイン失敗回数に応じて、待機時間を段階的に延長していく方式です。例えば、1回目の失敗では制限なし、3回目で30秒の待機、5回目で5分、7回目で30分、10回目で完全ロックといった具合に、失敗を重ねるほどペナルティが重くなります。この方式の優れている点は、正規ユーザーの単純なミスには寛容でありながら、執拗な攻撃に対しては効果的に防御できることです。攻撃者にとっては、試行ごとに待ち時間が増えるため、ブルートフォース攻撃(あるパスワードに対し、考えられるすべてのパターンを総当たりで試すことで認証の突破を図るサイバー攻撃の手法)の効率が低下します。一方、正規ユーザーが何度もパスワードを間違えると、長時間待たされることになるのがデメリットです(そもそも、待ち時間が読めないので、結構混乱します)。

「時間ベースのロックアウト」や「段階的制限」を導入するシステムが広がってますが、依然として、情シスによる「管理者解除型」がなくなりません。これは、情報セキュリティ要件が高い領域では、もっとも確実な方法だからです。

人事などの基幹システムや、業務チャットなどコミュニケーションをメインとしたシステムは、情報漏えいに厳格な機密情報や個人情報を扱います。不正アクセスによる情報漏えいが起きたら、会社にとって甚大な被害を被ります。「時間ベースのロックアウト」や「段階的制限」など、時間経過で自動解除されると、悪意を持った攻撃者には、再チャレンジの機会を与えてしまいます。

つまり「管理者解除型」は、手間がかかるのですが、それ以上に守るべきものの価値が高い場合に、選ばれ続けているのです。

ま、とにかく何事も起きなければいいな~と神さまに祈る明日です。

ランキング参加中
知識
ランキング参加中
雑談
ランキング参加中
テクノロジー