検索
連載

ShellShockに管理者はショック! パスワード定期変更の議論どころではない?セキュリティクラスター まとめのまとめ 2014年9月版(1/3 ページ)

2014年9月はまた、大きな大きな脆弱性に振り回されました。その裏では、セキュリティクラスターのみんなが大好きなあの議論も……

Share
Tweet
LINE
Hatena
「セキュリティクラスター まとめのまとめ」のインデックス

連載目次

 2014年9月は、先月に引き続き3s3s.orgの話題で盛り上がっていましたが、それをかき消すかのように今年何度目かの「パスワードの定期変更」議論が沸き起こりました。その他にもパスワードの桁数や秘密の質問など、パスワード関連のことが数多く話題に上りました。

 身構えていた中国からの攻撃も目立った動きはないままシルバーウィークを終え、何事もなく9月は終わるかと思ったのですが……やはりそんなわけにはいかず、Bashの大きな脆弱(ぜいじゃく)性「ShellShock」が猛威を振るい、たくさんの人が巻き込まれてしまいました。

パスワードの定期変更って、広告するほど効果のあるもの!?

 パスワード定期変更の是非は、何カ月かに一度は議論になっています(それはまるでパスワードの変更通知のように……)。今回は情報処理推進機構(IPA)が募集した公告の要件に、定期的なパスワード変更が入っていたことをきっかけに、Twitterのタイムライン上でまたまた議論が巻き起こりました。

 IPAによる公募は「ID・パスワードのセキュリティ対策促進に関する広告等業務」

にかかる企画競争というもので、

  • ID・パスワードは定期的に変更する
  • サービスごとに異なるパスワードを設定する
  • パスワードは分かりにくい文字列(8文字以上、記号を含む)を設定する

のいずれかの対策事例を用いて「ID・パスワードのセキュリティ対策」をテーマにした広告展開を企画、実施するというものでした。

 これに対し、パスワードの定期変更にはちょっと一家言あるセキュリティクラスターが、「日本のセキュリティの総本山ともいえるIPAがそんなこと要求するのはいかがなものか」と盛り上がります。

 中でも多かった意見は、「サービスごとに異なるパスワードを設定する」「分かりにくい文字列をパスワードにする」の二つと同列に「パスワードの定期変更」を並べるのはどうなのかということと、これらのいずれかを対策とするという要件であるため、パスワードの定期変更だけを採用してしまうと、根本的な対策にはならないのではないかという意見です。

 それに対し、@keijitakeda氏から「必ずしも駄目とも思えない、一律にパスワードの定期変更をあざ笑うような風潮を広めることはあまりよくない」と反論がありました(なお、@keijitakeda氏は基本的にパスワードの定期変更には反対の立場だそうです)。

 @keijitakeda氏に対して、たくさんの反論ツイートが向かいます。まとめると、定期変更は一定の効果はあるのは分かってはいるけれど、あくまでも他の2つの補助的な役割に過ぎないので、ここでいずれかの対策に含めるのは不適当なのでは? という意見でした。

 その後も会話がうまく噛み合わないまま、議論ツイートだけは交わされていき、パスワードの定期変更に関する意見が流れるだけで、本来の議論である「根本的な対策としてパスワードの定期変更を推すのはどうなの?」に戻ることはありませんでした。

 IPAがTwitter上の議論を見ていたのかは分かりませんが、結局2014年9月9日に「ID・パスワードは定期的に変更する」という訴求内容は削除されました。パスワードの定期変更が要件に入っていてもいいじゃないかと主張する人は、なんのためにツイートしているのかよくわからない状態になり議論は終わりを告げましたが、またいつ再燃するかは分かりません。

Copyright © ITmedia, Inc. All Rights Reserved.

       | 次のページへ

Security & Trust 記事ランキング

  1. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  2. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  3. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  4. OpenAIの生成AIを悪用していた脅威アクターとは? OpenAIが脅威レポートの最新版を公開
  5. 約9割の経営層が「ランサムウェアは危ない」と認識、だが約4割は「問題解決は自分の役割ではない」と考えている Vade調査
  6. インサイダーが原因の情報漏えいを経験した国内企業が約3割の今、対策における「責任の所在」の誤解とは
  7. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  8. 人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は? 主な手口と有効な対策とは? Microsoftがレポート
  9. MicrosoftがAD認証情報を盗むサイバー攻撃「Kerberoasting」を警告 検知/防御方法は?
  10. AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
ページトップに戻る