いくつ覚えられますか?--限界が見えてきた文字パスワードの有効性

田中好伸 (編集部) 2011年09月21日 12時32分

  • このエントリーをはてなブックマークに追加

 PC1人1台はもはや当たり前となったのも今は昔。企業の業務はアプリケーションがなければ回らないし、プライベートで楽しむネットサービスもさまざまだ。こう考えると、われわれの日常生活はパスワードが守っていると言える。だが、ここで一つの疑問が湧き起こってくる。今のパスワードは本当に安全なものなのか、と。

 情報システムのセキュリティ全般で学際的、業際的な調査研究で、より健全な情報社会に貢献することを目的に1985年に設立された日本セキュリティ・マネジメント学会は25周年を迎えた。25周年の節目を迎えた同学会は“社会に役立つ、会員に役立つ”というコンセプトのもとに先週、「誰でも安心して使えるパスワードの実現に向けて」と題する提言を明らかにしている。

 同提言では、パスワードは代表的な電子的本人認証手段として、さまざまな場面で使われ、社会に大きく貢献してきたと説明。生体認証や所持物認証などのほかの認証方式が利用される場面であっても、パスワードを利用しない状況は想定しにくいとしている。

 だがその一方で、パスワードは必要不可欠であるにもかかわらず、現状の文字を中心としたパスワードは「覚えられない」「メモ書きする」「使い回す」など、運用と安全性にさまざまな問題を抱えているのも実情という。2009年の不正アクセス事件の検挙件数2532件のうち、他人の識別符号を入力して不正に利用する「識別符号窃用型」は2529件になるというデータを、その証拠として指摘している。

 パスワードの実際の運用は、たとえば「6ケタ以上のランダムな英数字特殊文字の無意味な組み合わせ、メモ禁止、3カ月ごとの定期変更」などとして、エンドユーザーの安全性と利便性を両立させることが難しい状況が続いていると指摘している。そこで見えてくる問題点として(1)メモと使い回し、(2)パスワード失念対応コスト、(3)パスワードの乱用――という3つを挙げている。

 (1)は人間の記憶力に限界があるためだ。多くのパスワードを記憶し続けることは困難であるため、パスワードを記載したメモを携帯するか、あるいは1つのパスワードを複数のシステムに共用するのが実際のところだ。パスワードを書いたメモは情報漏洩の危険性があり、複数システムでのパスワード共用は漏洩が他のシステムへの不正なアクセスを誘発することになってしまう。どちらもセキュリティリスクを高めることにつながる。

 (2)は運用コストの高さが課題になるというものだ。セキュリティを重視して強固なパスワードの登録を強制すると、失念や混乱から不明になったパスワードを再発行するために、ヘルプデスクへの問い合わせが増加して、運営側に少なくないコストが発生することになる。

 必要以上に強固なパスワードを求めるシステムやパスワードを短期間で変更させるシステムが多く存在するために(1)のメモと使い回しが助長されている。セキュリティを強化するはずの対策が、逆にセキュリティを低下させたり、(2)のパスワード失念コストの増加につながっていたりするのも現実だ。これが(3)のパスワード乱用の実態だ。

 提言では、問題の原因は記憶力の限界にあり、それを考慮したパスワードの運用ができていないと指摘。詰まるところ「無意味で長い文字列を数多く覚えることを要求されても、おおかたの人間は対応できない」のだ。

 同学会はこうした現状の課題を分析した上で、次のように主張する。「文字によるパスワードが脆弱であることを踏まえ、本人にとって再認しやすい画像などを活用した電子的本人認証手法を広く利用することを提言する」

 シングルサインオンなどのID連携を利用すれば、より少ないパスワードの管理で済み、エンドユーザーの記憶への負担を軽減できる。だが、これらは特定のエンドユーザーや分野での有用性は評価できるが、パスワード記憶力が有限であるという問題を本質的に解決する方策ではないと分析している。

  • このエントリーをはてなブックマークに追加

関連ホワイトペーパー

SpecialPR

連載

CIO
ハードから読み解くITトレンド放談
研究現場から見たAI
ITは「ひみつ道具」の夢を見る
内製化とユーザー体験の関係
米ZDNet編集長Larryの独り言
今週の明言
「プロジェクトマネジメント」の解き方
田中克己「2020年のIT企業」
松岡功「一言もの申す」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
Fintechの正体
内山悟志「IT部門はどこに向かうのか」
情報通信技術の新しい使い方
三国大洋のスクラップブック
大河原克行のエンプラ徒然
コミュニケーション
情報系システム最適化
モバイル
通信のゆくえを追う
セキュリティ
企業セキュリティの歩き方
サイバーセキュリティ未来考
セキュリティの論点
ネットワークセキュリティ
スペシャル
Gartner Symposium
企業決算
ソフトウェア開発パラダイムの進化
座談会@ZDNet
Dr.津田のクラウドトップガン対談
CSIRT座談会--バンダイナムコや大成建設、DeNAに聞く
創造的破壊を--次世代SIer座談会
「SD-WAN」の現在
展望2017
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
古賀政純「Dockerがもたらすビジネス変革」
さとうなおきの「週刊Azureなう」
誰もが開発者になる時代 ~業務システム開発の現場を行く~
中国ビジネス四方山話
より賢く活用するためのOSS最新動向
「Windows 10」法人導入の手引き
Windows Server 2003サポート終了へ秒読み
米株式動向
実践ビッグデータ
日本株展望
ベトナムでビジネス
アジアのIT
10の事情
エンタープライズトレンド
クラウドと仮想化