パスワードの定期変更は時代遅れ

　新人研修があるこの時期、ビジネスマナーなどが改めて意識に上ることが多いはずだ。しかし、それはセキュリティ的に見てどうだろうか。おかしいだけならまだいいが、中には逆効果だったり実害が懸念されるものもある。

　3月、総務省は「国民のための情報セキュリティサイト」を改訂し、それまで有効とされていた「パスワードの定期変更」を必要ないとした。パスワードの定期変更問題は、セキュリティ界隈では約10年前から言われていたことだが、総務省が公式に表明したことで、関連機関や企業の追従に注目が集まっている。

　定期変更が必要ないとなった根拠は、面倒なルールによりかえって単純なパスワードや規則性のあるパスワードが蔓延すること、攻撃側ツール（リスト攻撃やブルートフォース攻撃）の進化により人力の定期変更がほぼ無力になってきたことがある。つまり、「状況が変わり過去の常識が通用しなくなった」ための方針変更ともいえる。

　しかし、各省庁のシステム、企業の業務システム、金融機関のオンラインサービス、サービスプロバイダや企業のログインサイトなど、いまだに「パスワードの定期変更」をルール化しアナウンスしているところは少なくない。理由は、業務ルールを変えるのは時間がかかる。システム変更にコストがかかる。現状を変えたくない。などさまざまだろう。

　このように、一度ルール化されたものやマナーはなかなか変えにくい。ブレないポリシーという視点では悪いことではないが、セキュリティや技術的な視点から見た場合、安全や効率の面から不整合を起すことがある。

テクノロジー視点で無意味なメールマナー

　おかしなマナーがはびこっている典型は、やはりメールだろう。ビジネス利用の歴史もそこそこあり、電話のように一般的なツールとなっているため、セキュリティ以前に一般的なビジネスマナーとの融合が強い。古くからのマナー文化を否定するつもりはないが、本来、効率やコミュニケーションを広げる手段として開発、導入されたものが、非効率なマナーやルールで制限されるのは本末転倒ではないか。

　たとえば、「メールのTo:欄に表示させる宛先に敬称を付ける」というマナーがある。メールプロトコル上、To:欄は宛先アドレスのためのフィールドであり、そもそも名前のテキスト表示（””で囲んだ表示名）はオプション機能だ。本文に正しく敬称が用いられていれば問題ないはずだ。「宛先」ならば相手の名前に敬称をつけるべきという意見だと思うが、メールの仕様では表示名がない宛先アドレスも問題ない。表示名はメーラーが設定によって付与しているだけなので、表示名のないアドレスには名前も敬称もつけようがない。


　表示名はアドレスからわかりにくい相手の顔が見えるなどのメリットもあるが、メールヘッダの正しい解釈は表示名を信用することではない。フィッシングや詐欺メールに騙されないためには、表示名やアドレス表示や慣習を「信用しない」スキルが必要な時代である。

　類似のマナーに「To:欄やCC:欄に並べる宛先は職位の順にすべき」というのもある。メールのプロトコル上、パケットの到達順序は保証されないので、順番は見た目の問題だけだろう。そもそも、リストの先頭が常に上位という決まりや常識も存在しない（真打は最後に登場するなどルールは多様）。

　そんな無意味なマナーを守るのに頭を使わせるより、To:欄にアドレスを羅列しすぎてスパムフィルタにひっかかったりしない工夫、CC:とBCC:の正しい使い方（不用意に他人のアドレスを知らせてしまわない工夫）の徹底や指導の方がよっぽど重要だ。

【次ページ】 暗号化ZIPの無意味さ、「SNS禁止」のむなしさ