中小企業・中堅企業における情報セキュリティ対策--パスワードの管理(1)

こんにちは、合同会社たいがの小西です。暑くなりましたが、みなさまは、いかがお過ごしのことでしょうか。

今回はガイドブックの最終章である
「第6章 セキュリティをより深く理解して、インターネットを安全に使う」
です。

本章は、タイトル「セキュリティをより深く理解する」の通り、仕組みや、対策の背景になどを説明しているので、正直、難しい内容です。
→私はIT技術者ですが、実際、IT技術者でも、この章に書かれたことを完全に理解している技術者は、少ないと思います。

従って、この章は、みなさまの会社でも、主としてIT管理に関わるご担当者さま向けだと思いますが、「IT技術者でなくても、分かっておいたほうがよいこと」について、これからまとめてみたいと思います。

暗号化キーはPIN/パスワードと全く性格が異なる

ITに関係のない一般の皆さまは、PIN/パスワード/暗号化キーそれぞれについて、「すべて暗証番号みたいなもの」とお考えだと思います。

「しっかり管理する必要がある」という点では、いずれも変わらないのですが、「セキュリティ(対策)の観点で、どのような違いがあるか?」について、お話しします。

まず、PINとはまさに暗証番号です。銀行のキャッシュカードやクレジットカードの暗証番号、そして、スマホにも、生体認証以外なら、PINでログインすることが多いと思います。
もちろん、暗証番号は自分で決めて、他人には決して漏らさないことになっています。

次に、パスワードは、社内システムにログインする際や、Webサイトへのログイン時に、自分を示すID(社員IDや自分のメールアドレスなど)と組み合わせて使います。
このパスワードも、PINと同じで、自分で決めて、他人には決して漏らさないことになっています。

#ちなみに・・・もし今どき、パスワードを本人が決めず、管理者などに与えられるようなシステムであれば、それはセキュリティ上、ダメなシステムですから、念のため・・・
(「自分しか知らない」が成り立ちませんから)

最後に、暗号化キーとは、暗号化された通信やデータ(ファイル)などを、暗号化を解除するために使われるものです。

たとえば無線LANの通信は通常、暗号化されていて、第三者がその通信を傍受しても解読(暗号化を解除する)が、できないようにしています。
しかし、それでは、その無線LANを正当に使う権利のある人は、暗号化されているため、使うことができません。

そこで、正当に使う権利のある人に、その無線LANの識別番号(これをSSIDという)と、暗号化された通信を解除するための暗号化キーを教えることにより、はじめてその無線LANが使えるようになるわけです。

さて、以前書いた「中小企業・中堅企業における情報セキュリティ--基本の基本」にて、私は「認証」=自分が自分であり、他人では決してないことを証明すること=のお話をさせて頂きました。

また、そのとき、認証の方式の一つに
「自分しか知らないことを伝えることによって認証する」
というお話も致しました。

PINとパスワードは「自分が自分であることを証明する」認証で使うものであり、両方とも「自分しか知らないことを伝えることによって認証する」方式です。

ですから、PINやパスワードは一般的に、何度か間違って入力すると、ロックされてしまいます。
それは、不正にカードを入手した、或いは、不正にシステムやWebサイトにログインしようとする者が、めったやたらとPINやパスワードを入力して試すのを防ぐためです。

※注:Webサイトの中には、ロック機能を持たないサイトもあることに留意してください。だからこそ、厳正な管理が必要だということも。

特に、PINはガードが堅いです。
例えば、キャッシュカードやクレジットカードなどは、発行元金融機関にもよりますが、3~5回連続くらいで間違うと、最低でも完全ロック(使えない)、厳しい場合は、カード再発行が必要です。

以上のように、PINとパスワードは、認証に使われるものだからこそ、ロックなどのガード機能があることを理解してください。

一方、暗号化キーは「認証のため」のものではありません。あくまで、暗号化を解除するために使われるものです。

セキュリティ上のポイントは、暗号化キーはPINやパスワードとは違い、「自分しか知らないこと」ではない、ということです。
上で書いた無線LANの例の通り、正当に使う権利のある人はみな、その暗号化キーを知っています。その意味で「共有する暗証番号」みたいなものです。
従って「ロック」などの機能もありません。

<注:もし、貴社の無線LAN暗号化規格が「WPA2エンタープライズ」などのIEEE802.1X認証をサポートしている場合は、ユーザ単位での認証が可能ですので、「共有する暗証番号」には該当しません>

ロックの機能がないということは、悪意ある者は、何度でもチャレンジできるので、時間をかければ暗号化を解除することが可能、ということになります。
また、「共有する暗証番号」なので、漏れたときの影響範囲も広いのです。

従ってガイドブックでは、

暗号化キーについては、特に、十分に複雑なものにしなさい、(ガイドブックの言葉を借りれば)「完全にランダムで英大文字小文字+数字+記号混じりで15 桁以上を推奨」

と書いています。

私も同意です。また、管理者は、暗号化キーの管理=誰に知らせるかも含め=も、厳正に管理しなければなりません。

が・・・ここで問題なのは、パスワードにせよ、この暗号化キーにせよ、
  • どうやって、十分に複雑なものにしたらよいのか
  • どうやって、厳正に管理したらよいのか
です。

今回は、やや小難しい話だったので、これくらいにして、次回は、上記について述べたいと思います。

では、次回もよろしくお願い申し上げます。