管理職からよく「うちは大丈夫?」と聞かれます。大抵、外部でのセキュリティ講習があった翌日に、影響を受けた方が向上心むき出しにこの手の話題を振ってきます。「えーと、インフラ構築時に完璧にしてるので大丈夫っす」としか言えないのですが、それだと言葉不足になるので、自分の場合は細かく説明をさせていただいております
インフラでのセキュリティは主に「利権制限」「物理的端末管理」「ネットワーク制限」などを施します。方法論は無数にあり、組み合わせも環境に応じて定義するわけですが…最近一番危惧しているのは「ユーザー端末の運用方法=ユーザー単位のPCの使い方」ですね。こればっかりは管理側でコントロールするには限界があります。
今回はその「ユーザー端末の運用方法」において、古典的かつ重要視される「パスワード管理」について、自分が業務レベルで行っている方法や注意点を記事にしたいと思います。(最近Falloutばっかり気になってたので、ちゃんと仕事の話を書こうと思いました)
管理側の方やユーザー側の方でどのように運用すべきか?と悩んでいる方がいらっしゃったら参考程度にお読みください。
※あくまで自分の考え方、一般的な方法であり絶対的な回答ではありません。
パスワードを作成する場合の注意点
これは既にご承知の通りですが、個人情報が紐づけられる数字(生年月日等)は絶対に使わないこと。またパスワードは他で設定したものを流用しないこと。これは漏洩リスク云々の話ではなく、解読のしやすさにあります。
悪意のある第三者が攻撃をする際には基本的にはそのユーザーの個人情報を取得します。生年月日などを加味して解読をすることが常套句です。なので、ほとんどの組織では使わないでくださいとアナウンスします。覚えやすさを優先せずに、面倒ではありますが、下記のようにパスワードを1つずつ作って管理しましょう
- 生年月日などの個人情報を使わない
- 大文字小文字英数字を組み合わせた8桁以上
- 関連性のないランダムな配列
これにつきます。ただ桁数については利用する媒体によって最低桁数が変わりますので、そちらに合わせる必要があります。これは自分で決めるのが難しい場合は、サイトでよくあるパスワード生成が出来るサイトを利用することをおすすめします。
パスワードを定期的に変更する必要性について
これは正直言うと、古い考え方とされています。組織管理されるパスワードの変更必要性は以前までは必須項目でしたが、Microsoftのガイドラインで更新された記事によると、「パスワードを定期的に変えることが第三者の攻撃に対応する有効手段とは言い難い」という旨のアナウンスをしていました。
パスワードを突破させないことを念頭にするのではなく、二段階認証以上の、個人を特定する手段を施すのが最近のトレンドになります。パスワードが仮に突破されてもネットワークで制限を施して遮断する方法でデータ領域を守ります。
データ領域の不正アクセスの遮断やデータの切り離しを行えば、3か月に一回など定期的なパスワード変更は、必要ないと考えます。むしろ重要なのは二段階認証などの「多段階認証」の設置が重要になるのでは?という考えにシフトしてきました。
しかし、そうはいっても例外も存在します。それは銀行のキャッシュカードになります。ATMでの多段階認証を施しているところは少なく、「二要素認証」という方式を取っています。
二要素認証と二段階認証の違い
単純に言うと本人性の担保を二要素認証の場合は「カードとパスワード」で行い、二段階認証は「パスコードとパスワード」で行う方法の違いです。具体的には
二要素認証は「本人しかもっていないカードと本人しか知ることがないパスワードの二つの要素があれば、もうそれは本人でしょ」と考えます。
一方二段階認証は「本人しかもっていない携帯などにパスコードを送るんだから、パスワードと一緒に入力できるなら、もうそれは本人でしょ」と考えます。
正直言えば、どちらも盗難されてパスワードばれたらアウトなんですけどね。
銀行のキャッシュカードのパスワードはどうすべきか?
二要素認証という方式がある以上はパスワードについては「生年月日」を絶対設定せずにランダムな4桁数字を施せば特に変更する必要性は低く感じます。ただし、一番重要なのは「紛失時の対応」になりますので、紛失盗難が発生した場合は、利用停止をすぐにすることをお勧めします。
誰もが出来るセキュリティは「パスワード管理」です
皆さんが耳にタコが出来るくらい言われているのは「パスワードを付箋に書いてディスプレイとかに貼らないでください」という言葉だと思います。これは正解ですが…現在のSaasの拡充利用がされる環境下ですと、一番危惧すべきは「ブラウザへの保存」です。
何故ブラウザに保存してはいけないか?
例えばChromeをGoogleアカウントでログインしてパスワードをブラウザに保存したとします。するとアカウント自体のパスワード情報として記録されます(もちろん拒否も出来ますが)その状態でアカウントを乗っ取られたら…二段階認証を設定していないものに関しては悪用されるリスクが非常に高いです。業務利用の場合はそういった対策のために、主にゲストユーザーで利用してもらいます。乗っ取り防止になります。
パスワード管理の具体的な方法
業務利用時の情報の機密性やインフラ構築定義によってある程度変わってくると思います。アカウント利用をしない状態で、ブラウザに保存するのは…管理側はおすすめしませんが、正直毎日使うたびにメモを見たりとなると…めんどくさいですよね…。なので本来ならば保存をさせたくないのですが…例として自分の組織の場合は、折衷案としては「二段階認証が施せるものについてはゲストユーザーとしてブラウザにパスワードを保存させる」といった運用に落ち着きました。ただし、情報資産に該当するような機密性が高いものについては「ブラウザ保存を禁止し、パスワードは紙媒体などで管理する」という方法を取っています。正直言いますと…8桁英数字パスワードは毎日使っていれば大抵覚えられます(個人差はあります)
まとめ
上記を整理しますと
・パスワードはランダム生成、生年月日は使わない
・二要素認証、二段階認証は有効なセキュリティの一つ
・盗難紛失があった場合はすぐに対応
・ブラウザには極力パスワードを保存しない
といったユーザーでも出来るセキュリティ対策「パスワード管理」が出来ると思います。現在の業務利用環境については個人のリテラシー…というよりかはモラル的な部分、要は「使い方」が重要になります。
もちろん管理側はそれをシステムや端末に最低限のセキュリティを施しますが…正直ユーザーとしてのログインというところは個人に委ねられます。紛失や盗難された場合は、業務端末で言えば…資産管理ツールを使えばオンライン状態ならば場所を特定したり、ローカル領域を初期化したり、利用を停止することは出来きます。
しかし携帯とは違って(携帯でも圏外・電池切れの場合は無理ですが)常にオンラインになっているとは限りません。仮にわかったとしてもそれが電源オンにした直後かはわかりません。
しかし、共有ネットワークの管理側で接続端末のアクセス制御を施すことは容易です。必ず紛失した場合は管理部署に通達してください。自分の環境の場合は端末特定して完全にクローズすればローカルの情報以外は守ることが出来ます。そう考えると重要なファイルについてはローカルに保存しないほうが良いと考えます。
以上、長々とした説明になりましたが、パスワード管理って大事ってお話でした。
コメント