PCデポよりゴルスタより「アカウントロック」が気になる？：セキュリティクラスタ まとめのまとめ 2016年8月版（2/3 ページ）

2016年8月は、各所で恒例のセキュリティイベントが開催されました。また、PCデポやゴルスタの1件が話題になると同時に、「アカウントロック」や「攻撃手法の公開」の是非について議論が交わされたのでした。

[山本洋介山（エヌ・ティ・ティ・コミュニケーションズ），＠IT]

パスワードの定期変更の次はアカウントロックがターゲットに？

　この数年の間、何度も何度も議論が行われてきた「パスワードの定期変更」の必要性の問題ですが、インターネットのサービスの場合、ユーザーは定期変更によって変更したパスワードを忘れないように、簡単なパスワードを設定しがちなのだそうです。そのため、「サイト管理者がユーザーに定期変更を強いることはあまり効果的ではない」という結論に、議論は落ち着きつつあります。

　そんな中、セキュリティクラスタでは新たな議論のターゲットが発見されます。「アカウントロック」です。アカウントロックとは、ある一定回数のログイン試行が失敗した際に、そのアカウントやIPアドレスを一定期間、もしくは別の手段で管理者側に連絡するまでロックし、ログインできなくするという安全策です。

　徳丸浩氏（@ockeghem）が「開発者はアカウントロックの実装に抵抗感が強い」というツイートを行うと、それに合わせて、さまざまな人が意見を述べました。「ユーザーが不便になる」「サポートのコストが上昇する」「相手の活動を妨害するために使う人が出てくる」などのデメリットがツイートされますが、これという結論には至らなかったようです。

　また、今度は社内ネットワークに対象を移して、パスワード定期変更の議論も繰り返されます。インターネットのサービスではパスワードの定期変更の有効性は否定されているのに、社内ネットワークではパスワードの定期変更の有効性をある程度信じている人が多いことに対して、疑問の声が投げ掛けられていました。

　そうした声に対しては「社内LAN環境ではパスワードのショルダーハックや共有、パスワードが権限外の人に知られてしまうなどのリスクがある」、あるいは「ISMSなどの審査や社内監査のルールで決まっているという別の問題があるから仕方がない」といった反論がありましたが、「それなら社外でもスマホで覗き見できる環境なら定期変更は有効な手段ではないのか」とする意見が出ていました。