第1回 常に変化し続けるサイバーセキュリティの常識


1. はじめに
昨年3月に、総務省が「パスワードの定期変更は不要」との発表を行った。今年の4月になって、マイクロソフトはWindows10の次期アップデートで、パスワードのポリシーとして、その定期変更を明確に否定し、時代遅れの極めて価値の低い対策であると酷評まで行った。しかし、現在でも、多くの銀行や証券会社、それにネット通販等、特に資金の移動や重要な個人情報に絡むサイトへのアクセスにはパスワードが用いられ、それを3か月毎等、定期的に変更するように要求される。セキュリティに厳しい学校等でも、成績等を管理する教務システムへのアクセスにもパスワードが用いられ、その定期変更が求められている。直感的には定期変更することによって、パスワードの安全性が増すと考えられる。にもかかわらず、なぜパスワードの定期変更が勧められないのか。本稿ではパスワードの安全性とは何か、安全に運用するためには何が本質なのかを例に、時代によって変化するセキュリティの常識について解説する。


2. パスワードの本質
パスワードとは何か。英語の意味としては「合言葉」と訳されるが、特にパソコンおよびネット関連で使われる用語の意味としては、「IDで識別される利用者が、そのIDを有する本人であることを保証するための文字列」となっている。

パスワードと呼ばれる符合が使われてから半世紀、「パスワードは終わった!」と言われてからも四半世紀近くが経とうとしている。それでも今、パスワードが使われている。なぜパスワードが使われるのか。その理由はただ一つ、それが有する安全性と、その運用に関する費用(手間)を考え合わせたコストが最良との理由からである。ただし、どのようなセキュリティシステムでも、その安全性を保証するための仮定がある。すべてのセキュリティシステムにおいて無条件の絶対的安全性は存在しない。パスワードも然りである。パスワードでの安全性の仮定は、いくつかあるものの、その第一は利用者の高いセキュリティ意識である。利用者のパスワードの管理が最良である場合、パスワードは有効に作用する。しかし、今、そのパスワードを取り巻く状況が大きく変わってしまった。利用者の高い意識が期待されないのである。パスワードが利用され始めた当時、パソコンやネットへ接続する人は一部であり、かつ高いセキュリティ意識を有していた。しかし現在はすべての人が利用するといっても過言ではないほど、パスワードは一般化している。特にスマートフォンの普及によって、社会生活におけるすべてのサービスがネット化し、そのサービスを受けるための認証システムとしてもパスワードの利用が不可欠となっているのである。

一般の人のスマートフォンやパソコン利用の増加に伴って、全体的にはセキュリティ意識が極めて低くなったことが、パスワードの安全性自体の仮定を崩す結果となったのである。パスワードの安全性を保障する仮定とは、まず第一に利用するパスワードは本人しか知り得ないということである。この知り得ないという意味は、他者に推測されないという意味も含んでいる。したがって、8文字、あるいは12文字以上の英数大文字小文字、それに記号まで加えた無意味な文字列、通常はそれらの個々の文字種を無意味に並び替えた文字列、つまりランダムな文字列が推奨される。このパスワードは通常、他人に知られることがないようにとの制約から記憶することが求められる。このことが安全性の強度に大きく影響するのである。つまり、セキュリティ意識が低い場合、他人に推測され難いという抽象的な目標よりも、記憶するという具体的な目標が優先されて、無意味ではなく、自分に取っては意味のあるパスワードを付けてしまうことになってしまうのである。つまり自分や身近な人の住所や電話番号、それに生年月日に関係する英数字、あるいは自分自身が覚えやすい英単語が選択されることとなる。


3. パスワードの定期変更
この他人に推測され難い無意味でランダムな文字列をパスワードとして採用すべきという最も基本的な注意事項であるが、セキュリティ意識の低い一般の人にとっては必ずしも容易ではない。実は一般の人にとって一番の不安はパスワードを忘れてしまう事なのである。これが推測され難い無意味な、そしてランダムな文字列を使うことへの阻害要因になっている。

当初、このパスワードの他人による推測を防ぐために、そしてパスワードへの注意喚起、パスワードの設定を意識させることを目的に、パスワードを定期的に更新することが推奨され、実際に、特に高いセキュリティが求められる銀行や証券会社、それにネット通販等、資産や取引に関わるサイトへアクセスする際の認証に用いられるパスワードには定期更新が強く求められた。

パスワードの定期変更が推奨される最も大きな理由は、かつてアメリカ国立標準技術研究所(NIST)がパスワードの定期変更を推奨していたためである。NISTとはアメリカの技術や産業の規格や利用について、その要件等を定める機関であり、そこで決められたことは米国での利用基準となっている。日本政府でも、それに準じて、例えば総務省ではパスワードの利用に関し、「パスワードの定期変更」を推奨していたのである。もちろん、それだけではなく、第一にパスワードへの関心を高めるため、第二には、もしそのパスワードが洩れていた、あるいは推測されていたとしても、利用期間における制限から限定的な被害に収まるだろうという期待からである。

NISTでは最近になって、パスワードの定期変更を推奨することはなくなり、それどころか、一昨年の6月には、「一般には、パスワードの定期変更を求めてはいけない」という、今までと真逆の推奨が提示された。それにともなって今年の3月には、総務省が「パスワードの定期変更は不要」との発表を行った。なぜパスワードの定期変更が勧められないのか。

パスワードの定期変更の目的はパスワードが推測される可能性を低減させるため、そして万が一に、パスワードが洩れたとしても、その被害を最小化するためであった。しかし、先に説明したようにパスワードの安全性は、もともと他人に推測されない無意味でランダムなパスワードに設定していることを仮定していたのである。しかるにパスワードの定期変更を強いることによって、この仮定が崩れる傾向が判明したのである。つまり定期変更する際にも、変更前のパスワードと、変更後のパスワードは当然、無相関、つまり改めて無意味でランダムな文字列をパスワードとして設定しなければならない。ところが頻繁な変更を強いるがゆえに、そして多数のパスワードを扱う必要から、それぞれ定期変更を強いられることで手間が倍増し、安易な変更になる場合が多いのである。例えば、先のパスワードを規則的に変更するために、末尾の番号を1づつ加えたり、他のサービスのパスワードを順々に使いまわしたりすることが判明したのである。言わば、パスワードの本質において、枝葉を気にするあまり、本質を見失っていたのである。


4. パスワードの誤解とパスワードリスト攻撃への対処
現在、パスワードにとって最大の脅威は「パスワードリスト攻撃」である。パスワードリスト攻撃では、一つのサイトで漏えいしたID(アカウント名)とパスワードを、他のサイトに適用し、アクセスを試みる。これに対する対策は、利用する複数のパスワードをそれぞれまったく異なったパスワードにすることであるが、これを実際に実現することは容易ではない。現在ではパスワード管理ツール(ソフト)があり、特にスマートフォンではその利用が推奨されているが、その適用と操作の面倒さゆえに、必ずしも普及しているとは言い難い。特に以前からパスワードについては以下の3点を厳守することが言われていた。

(1) パスワードは定期的に更新すること。
(2) パスワードは紙に書いてはいけない(覚えること)。
(3) できるだけ長いパスワードをつけること。

しかし、この3点を文字通り、厳守することは必ずしもパスワードの他人に類推されないという本質を満たさないのである。(1) については先に述べた。(2) については紙に書くのが不都合ではなく、その紙に書いたパスワードが容易に他人の目に触れることが問題なのである。したがって、会社や学校ではなく、自宅においては、メモ帳に記述し、自分だけが手に取ることができる場所に保管すれば問題はまったくないのである。また日頃持ち歩く、手帳やスマートフォンであっても、パスワードを記述する場所がわからなければ問題はない。ただし、「何々に対するパスワードはxx」と書いては決してならない。さりげなく、パスワードだけノートの片隅に書いておくのである。(3) に対しても、一見、長いパスワードは安全である、つまり推測され難いと思われがちであるが、長いパスワードであればあるほど、意味のある文字列を採用することが常であり、たとえば小説や歌詞の一説となって、ある程度の個人情報や嗜好が判明すれば容易に類推されることも少なくない。

このように常識と思われている、安全なパスワードの作成や運用が、実はパスワードの本質を阻害する結果となっている。確かに、一部の比較的セキュリティ意識の高い利用者が限られたサービスにおいて、少数のパスワードを運用していた時代では常識として通用していても、時代が変わり、セキュリティ意識を求めることができず、強制的な方法以外では指示や推奨に従うことのない利用者が大部分となり、必ずしも常識が通用しなくなったのである。正確には文字通りの常識に拘るがあまり、本質が犯される結果となった。


5. パスワードの今後
パスワードの最大の欠点は、利用者がパスワードを安全に運用することの困難さである。一人一人が異なり、他人が推定できず、かつ自分自身も忘れる事がないパスワードを使用することは非常に難しい。実際、安全なパスワードの作り方、使い方を何年も前から強く注意されているにも関わらず、結果的に多くの人がパスワードを盗まれて大きな被害にあっている。これを補うために、強制的に安全なパスワードを使用させるワンタイムパスワードや、パスワードを入力した際に、本人が所有するスマートフォンに問い合わせる二経路認証がある。

生体認証と呼ばれる、一人一人が異なる個人の身体的特徴を利用して、かつその情報が盗まれないように工夫された方式が、パスワードに変わる認証方式として期待されている。しかし無条件に生体認証が最も優れた認証方式であるとは限らない。例えば、現在ではスマートフォンでの認証でも用いられるようになった指紋である。指紋認証とはすべての人の指紋が異なることから、その形を読み込んで個人を識別する方式となっている。しかし指紋認証も無条件に安全ではない。スマートフォンやパソコンに付属している指紋を読み取る装置(デバイス)は非常に安価なものが一般的であり、デバイスでは人の指紋であるか否か判別できないものも少なくない。つまり、身体組織に似た物質で指紋(指)を作り、他人の指紋をコピーすれば、認証を突破出来る可能性もある。実際、食用のグミで作成した例が存在する。静脈認証は信頼性が高く、生体内の内部組織であるゆえに偽造が困難であるものの、その判定装置のコストが問題となる。目の組織を用いる虹彩も、それを読み取るカメラが高解像度であれば、十分実用化される可能性があり、実際、スマートフォンに搭載されている顔認証も、十分、認識できる技術水準になっているが、やはり単に高解像度カメラによって顔画像を読み込むだけであれば、写真等を利用して偽造できる可能性もあり得る。そして、技術的な対策がとられているはずだとはいえ、生体情報は究極の個人情報であり、それが外部に漏れる事は大きな問題になりかねない。極端には、生体情報が完全に流出してしまった場合、その情報を用いて他人が成り済ませることになり、本人が本人として認めてもらえないことになる。しかも生体情報を更新することはできない。


6. 変化するサイバーセキュリティの常識
認証システムであるパスワードを含めて、サイバーセキュリティの基本は想定される脅威から、利用者である自分自身を守ることである。オールマイティのセキュリティ対策はありえない。以前はパスワードの定期変更が、パスワードの強度化や、その漏えいに対して一定の効果が期待された。それはスマートフォン登場以前であり、利用するネットサービスも少なく、管理するパスワードの数が少ない場合であった。しかもパソコンを使うという一定の知識、特にネットリテラシーと呼ばれるネットの使い方、パスワードの使い方にほんの少しでも注意を向けられる人が大半であった。以前と比べて数多くのネットサービスを利用し、しかも誰でもがパスワードを使っている。サイバーセキュリティの根本的な常識が変わったのではなく、パスワードやサイバーセキュリティを取り巻く状況が変わったのである。サイバーセキュリティの常識は不変ではなく、守るべき対象の環境が変わることによって、大きく変化するのである。しかもその守るべき対象であるサイバー社会は激変し続けることを忘れてはならない。


【注釈】
本原稿は、実教出版 情報教育資料47号(2018年9月25日発行)掲載の拙稿、「パスワードの定期変更は不要」の波紋 ―パスワードの現状とその誤解―を修正加筆したものである。