いくつ覚えられますか?--限界が見えてきた文字パスワードの有効性

田中好伸 (編集部)

2011-09-21 12:32

 PC1人1台はもはや当たり前となったのも今は昔。企業の業務はアプリケーションがなければ回らないし、プライベートで楽しむネットサービスもさまざまだ。こう考えると、われわれの日常生活はパスワードが守っていると言える。だが、ここで一つの疑問が湧き起こってくる。今のパスワードは本当に安全なものなのか、と。

 情報システムのセキュリティ全般で学際的、業際的な調査研究で、より健全な情報社会に貢献することを目的に1985年に設立された日本セキュリティ・マネジメント学会は25周年を迎えた。25周年の節目を迎えた同学会は“社会に役立つ、会員に役立つ”というコンセプトのもとに先週、「誰でも安心して使えるパスワードの実現に向けて」と題する提言を明らかにしている。

 同提言では、パスワードは代表的な電子的本人認証手段として、さまざまな場面で使われ、社会に大きく貢献してきたと説明。生体認証や所持物認証などのほかの認証方式が利用される場面であっても、パスワードを利用しない状況は想定しにくいとしている。

 だがその一方で、パスワードは必要不可欠であるにもかかわらず、現状の文字を中心としたパスワードは「覚えられない」「メモ書きする」「使い回す」など、運用と安全性にさまざまな問題を抱えているのも実情という。2009年の不正アクセス事件の検挙件数2532件のうち、他人の識別符号を入力して不正に利用する「識別符号窃用型」は2529件になるというデータを、その証拠として指摘している。

 パスワードの実際の運用は、たとえば「6ケタ以上のランダムな英数字特殊文字の無意味な組み合わせ、メモ禁止、3カ月ごとの定期変更」などとして、エンドユーザーの安全性と利便性を両立させることが難しい状況が続いていると指摘している。そこで見えてくる問題点として(1)メモと使い回し、(2)パスワード失念対応コスト、(3)パスワードの乱用――という3つを挙げている。

 (1)は人間の記憶力に限界があるためだ。多くのパスワードを記憶し続けることは困難であるため、パスワードを記載したメモを携帯するか、あるいは1つのパスワードを複数のシステムに共用するのが実際のところだ。パスワードを書いたメモは情報漏洩の危険性があり、複数システムでのパスワード共用は漏洩が他のシステムへの不正なアクセスを誘発することになってしまう。どちらもセキュリティリスクを高めることにつながる。

 (2)は運用コストの高さが課題になるというものだ。セキュリティを重視して強固なパスワードの登録を強制すると、失念や混乱から不明になったパスワードを再発行するために、ヘルプデスクへの問い合わせが増加して、運営側に少なくないコストが発生することになる。

 必要以上に強固なパスワードを求めるシステムやパスワードを短期間で変更させるシステムが多く存在するために(1)のメモと使い回しが助長されている。セキュリティを強化するはずの対策が、逆にセキュリティを低下させたり、(2)のパスワード失念コストの増加につながっていたりするのも現実だ。これが(3)のパスワード乱用の実態だ。

 提言では、問題の原因は記憶力の限界にあり、それを考慮したパスワードの運用ができていないと指摘。詰まるところ「無意味で長い文字列を数多く覚えることを要求されても、おおかたの人間は対応できない」のだ。

 同学会はこうした現状の課題を分析した上で、次のように主張する。「文字によるパスワードが脆弱であることを踏まえ、本人にとって再認しやすい画像などを活用した電子的本人認証手法を広く利用することを提言する」

 シングルサインオンなどのID連携を利用すれば、より少ないパスワードの管理で済み、エンドユーザーの記憶への負担を軽減できる。だが、これらは特定のエンドユーザーや分野での有用性は評価できるが、パスワード記憶力が有限であるという問題を本質的に解決する方策ではないと分析している。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]