セキュリティ対策は日々変化するもの

　産労総合研究所によれば、2019年度の新入社員の特徴を表す言葉は「AIスピーカー型」だそうだ。

　AIにより便利な機能を持っているが、うまく活かすにはコツが必要で、コスト（コントローラーや対応機器）がかかる。古い世代はAIスピーカーに話しかけるのが恥ずかしい──といった点が、今年の新人の特徴に似ているからだという。

　そして、このような新人に対しては、社員旅行や飲み会参加、上司や先輩が理由を説明できない会社の慣習・ルールを強要しないことが重要だという。企業への信頼度が総じて低く、売り手市場で入社した彼らに、これらは通用しないのだ。

　古いルールや慣習が時代の変化とともに陳腐化するというのは、ビジネスルールに限らない。セキュリティ対策にも同様のことが言える。むしろ、セキュリティ管理においては、暗号方式や対策の危殆化（きたいか）の問題、絶えず変化する攻撃側の技術と社会情勢から、継続的な対策の改善、ポリシーの見直し、リスクマネジメントは必須だ。

　新人研修や年度ごとのセキュリティ講習（PマークやISO27000シリーズの認証企業は定期的に行っているだろう）で教わるセキュリティ対策や考え方の中には、現状での有効性や意義を振り返ることなく、単に「ルールだから」という理由で継続しているものが少なからず存在する。

　もちろん、個々の企業やシステムの都合もあるので、ルールを変えないことが一概にはNGとは言えないが、新人への教育や指導期間であるこの時期に、セキュリティの常識として巷で伝聞または実践されている対策について改めて検証してみたい。

安全なパスワードに関する常識

　まず、セキュリティ業界で数年前から議論の的になる、安全なパスワードに関する常識。

　「文字種（大文字、小文字、数字、記号）はなるべく多くし、定期的な変更をすることが安全で良いパスワード」とするルールは、いまだに多くの企業が採用し、システムに実装されている。しかし、この常識は現在多くの専門家によって否定されている。

　安全なパスワードに関する認識の変化を決定づけたのは、アメリカ国立標準技術研究所（NIST）が公開した「電子認証に関するガイドライン」（NIST SP 800-63-3）だ。ガイドラインでは、パスワードの文字種を混在させ、人間にとってランダムな文字が並んだものより、英字だけでも長さが長い方が解読の難易度が上がる（時間がかかる）と指摘している。

　また、パスワードの定期的な変更は、近年のブルートフォース攻撃に対してあまり有効ではないとも述べている。頻繁なパスワード変更を強要すると、かえって安易なパスワードの設定を誘発するという弊害のほうが問題だとしている。定期変更をさせるためのシステムの運用、管理コストに見合う安全性は期待できない。

暗号化zip：低可用性＝高安全性ではない

　「暗号化zipファイル」による添付ファイルのやりとりも、多くの企業がルール化している。暗号化zipファイルの生成と添付、パスワード通知と、それぞれメールを分けて自動送付するメールシステムやアプライアンスも存在するくらいだ。

　これも、いくつかの理由で安全性を疑問視する声は多い。そもそも、メールを分けても同じプロトコル、同じ通信媒体を使っているなら、盗聴に対して無意味であり、古いバージョンのzipの場合、暗号化方式が古くて安全とはいえない（危殆化）ものがある。ファイルを暗号化し鍵を別送メールとするといったプロセスが、いかにもセキュリティを高めている気分にしてくれるのかもしれないが、技術的な根拠はあまりない。

　近年は、標的型攻撃や詐欺メール対策のため、メールや添付そのものを使わず、HTTPSベースのメッセンジャーやアクセス認証のかかったファイルリポジトリ、交換サービスなどを使うべきという考え方もある。

【次ページ】「ウイルス感染したらLANケーブルを抜け！」は正しいか？