以前に本ブログでも話題にしたPPAPが最近また話題になっていたので、PPAPとも関連する日本の組織で常態化しているであろうシステムを利用する際のおかしなセキュリティルールについて、紹介します。
今回のおかしなセキュリティルールは、パスワードの定期変更です。
総務省のホームページで紹介されておりますが、システムサービス提供側はパスワード変更を定期的に要求すべきではないというガイドラインが提示されています。
これまでは、パスワードの定期的な変更が推奨されていましたが、2017年に、米国国立標準技術研究所(NIST)からガイドラインとして、サービスを提供する側がパスワードの定期的な変更を要求すべきではない旨が示されたところです(※1)。また、日本においても、内閣サイバーセキュリティセンター(NISC)から、パスワードを定期変更する必要はなく、流出時に速やかに変更する旨が示されています(※2)。
パスワードを定期変更させることで、パスワードがパターン化しやすくなったり、多くのサービスで同じパスワードを使うようになったりして、セキュリティ強度は下がるということですね。
しかし、2017年にこのガイドラインが提示されているものの企業内のセキュリティルールは見直されていないのが通常ではないでしょうか。
あろうことか意味がないのに、パスワードは定期的に変更した方が良いと思っている人もいることでしょう。
セキュリティ意識を高めようという組織風土を醸成しようとしているにも関わらず肝心のセキュリティに関する知識が希薄で、ルールの見直しがおざなりになっている状況では、従業員の誰もついてはきません。
企業においてルールを変更することの業務負荷は相応に高いものと思われますが、パスワードの定期変更を失くすことや、PPAPをやめるというのは、実際には従業員にとっては業務負荷を下げる効果のある考え方であるため、早々に取り入れるべきです。
特にパスワードの定期変更は定期的な変更をすることにはまったくセキュリティ強度を上げる効果がないことが実証されているので、早くやめるべきです。
新システムを導入せずにルールさえ変えれば実現できるので、やらない理由がないでしょう。
その上で、パスワード管理(作成方法、保管方法、変更時の留意点など)に関する教育を徹底すべきでしょう。
パスワードを破られた可能性があるときは速やかに変更することや容易に破られないパスワードにするということが有用です。
そのために、システムサービス提供側としては認証システムに最新のセキュリティ研究の結果を反映させるべきです。
利用者の使い易さを最優先して、暗号強度の低いパスワードを許容していると容易にパスワードを破られて、結局はシステム提供サイドのセキュリティ認識が低いということになってしまいます。
ただ、何でもかんでも最高のセキュリティ強度で提供すべきという話をしているわけでありません。
扱っている情報が公開情報しかないのであれば、そもそもパスワードは不要です。
つまり情報の価値に対して適切な対応が取られているかということが重要なのです。
もし、自分たちが扱っている情報の重要性が判断できないということであれば、できうる限りセキュリティ強度は高めておいた方が良いでしょう。
情報の重要性を判断せずに、安易なセキュリティポリシーを適用すべきではありません。
情報の重要性(漏洩した際のリスク)について適切な判断ができる知識人に意見をもらえるようにすべきです。
セキュリティの世界は、いたちごっこです。
これまで常識だと思っていた対策が、明日には意味のない対策になっていることがあります。
これを念頭においてセキュリティルールの見直しは常に心掛けるべきです。
