セキュリティの常識は時代とともに変わる

　「パスワードは使いまわすな」「不審な添付は開くな」などはよく耳にする言葉である。情報セキュリティに関して、常識として定着しているポリシーや運用方法だ。

　これらには一定の根拠があり、専門家や世間の評価を反映しながら確立されている。その意味で内容の合理性はあり、たとえその理由を知らなくても実践すれば一定の効果も期待できるだろう。その一方で、なんとなく言われ続けているが、「なぜそうなのか？」という根拠が微妙なものもある。

　とりわけ情報セキュリティの場合、社会情勢、技術の変化から過去の常識が通用しなくなることが多く、古い常識やポリシーを深く考えず運用することは、手段を目的とする愚に陥りやすい。

　そこで、一般的に流布されているセキュリティの常識とされるもののうち、本当にセキュリティを高められているのか専門家から疑問を呈されているもの、あるいは運用に条件がつくような3つを挙げてみたい。

1. パスワードの定期変更は効果的か

　パスワードクラッキングやアカウント情報の漏えいへの対策として、「ひとつのアカウントで同じパスワードを使い続けない」という方法がある。多くの企業で、定期的なパスワード変更を義務付けたり、ベンダーもシステムのアカウント管理にパスワードの有効期限を設定できるようにしたりと、一般にも浸透している。

　しかし、このパスワードの定期変更が効果的かどうかは、一部のセキュリティクラスタでは、長期にわたり議論されている問題だ。

　確かに、アカウント情報が漏えいしても、違うパスワードになっていれば不正アクセスを防止できる。しかし、定期的なパスワード変更の強要は利用者の負担となり、かえって解読されやすいパスワードを増やす懸念がある。

　また、暗号解読方法のひとつで、可能な組み合わせを全て試す「ブルートフォース攻撃（総当たり攻撃）」のような場合、パスワードの変更そのものがあまり意味がないのでは、という疑問もある。

　あるいは頻繁に使われるパスワードを「辞書」的に登録し攻撃に利用する「辞書攻撃」の場合も、アルゴリズムが多岐にわたるためパスワード変更がどの程度クラッキングを防げるか定量的な評価は難しい。極端な例としては、変更したパスワードが偶然、最初のブルートフォース攻撃の候補にヒットする可能性を高めてしまうこともあるわけだ。

　このような観点から、近年はパスワードの定期変更は、かかるコストや負担ほどリスク回避に貢献しないのではと、否定的な意見が増えている。

　最近では米国の連邦取引委員会（FTC）のCTOローリー・クレイナー氏がブログでこの問題を指摘して話題となった。ただし、否定派の意見でも、運用上複数の人間とパスワードを共有するような場合、定期変更の意味はあるとしている。

　いずれにせよ、アカウント情報が漏えいした場合、その可能性が発覚した場合は、「定期ではなくオンデマンドでパスワードを変更する」必要があることはいうまでもない。

【次ページ】ZIPファイルのパスワードは別送すべき？