| IT総合情報ポータル「ITmedia」 | ITとビジネスのニュース専門サイト「ITmedia News」 | 企業のためのIT情報サイト「ITmedia エンタープライズ」 | IT製品導入支援サイト「TechTargetジャパン」 | 経営者とCIOのコミュニティー「ITmedia エグゼクティブ」 | PCとMacの専門サイト「ITmedia +D PC USER」 | 携帯、スマートフォンの専門サイト「ITmedia +D Mobile」 | 電子書籍の専門サイト「ITmedia eBook USER」 | デジカメの専門サイト「ITmedia デジカメプラス」 | AV機器の専門サイト「ITmedia +D LifeStyle」 | 旬なモノネタ「ITmedia ガジェット」 | ニコ生、Ustreamの動画番組表「ライブガイド」 | ビジネスブログ・メディア「ITmedia オルタナティブ・ブログ」 | ちょっと気になるネットの話題「ねとらぼ」
2009年09月28日 07時30分 UPDATE
特集/連載

セキュリティの弱点はパスワードにありパスワード管理で陥りがちな9つの落とし穴

セキュリティ上の弱点の50%以上は強度の低いパスワードに原因がある。ここではパスワード管理の落とし穴となる9項目を説明する。

[Kevin Beaver,TechTarget]
共有する
プリント/アラート

 ITの世界では至る所にパスワードがある。デスクトップにもWebサイトにもVPNにも、常にパスワードが絡んでくる。幸いなことに、パスワードを管理しやすくする手だてはある。だが不幸なことに、当分の間はパスワードから逃れられそうにない。つまり、パスワード管理の不手際から生じるセキュリティ問題は今後も続くということだ。

 どんな組織であれ、セキュリティ上の弱点の50%以上は脆弱なパスワードに原因がある。パスワードに本来の役割を果たしてもらい、逆にセキュリティの妨げになるような事態を防ぐため、パスワード管理で陥りがちな9項目の落とし穴を以下に紹介する。

1.弱いパスワード

 OSレベルでは強い(破られにくい)パスワードに気を配るのに、OSと同じくらい簡単に破られてしまうほかの重要システムのことは忘れてしまう人が多い。スマートフォン、無線LAN、VPN、ファイアウォール、データベース、重要文書などは、いずれも同様に強いパスワードが必要だ。そうしなければ、どんな「保護」を掛けたところで簡単にかわされてしまう。

2.HDDの暗号化

 システムのBIOS(つまり電源を入れた際の)パスワードだけでは不十分だ。HDDが暗号化されていなければ、HDDを取り出して別のマシンに入れるだけで中のファイルに自由にアクセスされてしまう。

3.社内政治

 社内政治が適切なパスワードの妨げになり、本来はセキュアなネットワークを危険にさらしてしまうこともある。IT部門の要求が厳しいと上層部に文句を言う人があまりに多いため、システムに何のパスワードも掛けていないケースを時折見受ける。こうした状況では経営陣とIT部門の両方が動いて会社のために正しい行動を取らなければならない。要求水準がはっきりと定められ、パスワードに求める条件が理にかなっており、さらにセキュリティ保護とプライバシー保護が組織の文化の一部になっていれば(例えば「これがわが社のやり方だ。例外は認めない」といった方針)、パスワードの複雑さについてユーザーから文句は出ないだろう。

4.ユーザーの放置

 多くのユーザーは(セキュリティ対策について)正しい行動をしたいと思っている。しかし、覚えやすくて破られにくい強力なパスワードの作り方は誰も教えてくれない。できるものなら最も楽な方法を取ろうとするユーザーを責めることはできない。経営陣とIT部門はユーザーの成功のおぜん立てをし、自助努力を助けてやらなければならない。

5.使い回し

 すべてのシステムに同じパスワードを使い回すのは危険だ。Windowsのパスワードが弱ければ、Outlook Web Accessが悪用され、FTPが破られ、連動するBlackBerryが不正利用されるといったセキュリティ問題につながりかねない。基本部分は同じで、利用するシステムの種類と重要度に応じて個別の識別を付けられるシステムを確立しよう。

6.あいまいなポリシー

 パスワードに求める条件があいまいなものであってはならない。文書に記し、その文書を常にメンテナンスしておく必要がある。どんな組織にもパスワードポリシーがあるように見えるが、10社のうち9社はそれが古くなっており、すべての情報システムについて網羅されていない。

7.グレーゾーン

 パスワードの利用について2、3行費やしただけでは効果的なポリシーとはいえない。確かな効力のあるパスワードポリシー文書というものは、網羅する範囲と意図が極めてはっきり明記されている。コピーは全員に配布され、グレーゾーンは存在しない。

8.脆弱性検証

 強いパスワードを義務付けることと、すべてが安全だと自信たっぷりに言い切ることとは別だ。主要システムをすべてチェックする念入りな脆弱性検証を定期的に行って、システムに不正アクセスできないことを確認しよう。確信を得るためには、QualysGuardGFI LANguardなどの優れたツールを利用し、人の手を使った倫理ハッキングのテクニックを組み合わせる方法しかない。

9.非現実的な条件

 30日ごとにパスワードを変更するといったばかばかしい条件を強いることは、パスワードをまったく要求しないのと同じくらい良くない。これが誇張されすぎたり、行使されすぎたりすると仕事の邪魔になるのが常だ。誰もが対応可能な現実的な条件を設定しよう。

 設定していない、デフォルトのまま、弱いなどの理由で機能していないパスワードは、最もありがちなセキュリティ問題の1つとして存在し続けている。しかもわれわれが足を踏み入れつつあるクラウドコンピューティングの時代には、情報セキュリティコントロールが即座に適用される必要があり、事が簡単になることはあり得ない。上記のような不手際により、極めて単純なことで自分や会社の足をすくわれることがあってはならない。

 パスワードの正しい扱いを心掛ければ──それもWindowsだけでなくあらゆる場面、局面で──たとえセキュリティ問題が浮上したとしても、自分の目が届く範囲では起こらないと確信していられる。

本稿筆者のケビン・ビーバー氏は、米アトランタにあるPrinciple Logicを経営する独立系情報セキュリティコンサルタントで、執筆、講演も手掛ける。情報セキュリティに関する7冊の著書および共著書がある。


関連ホワイトペーパー

パスワード | 暗号化 | 脆弱性 | クラウドコンピューティング | ファイアウォール | ハッキング | 不正アクセス | プライバシー | スマートフォン


関連記事

この記事を読んだ人にお薦めのホワイトペーパー

この記事を読んだ人にお薦めの関連記事

共有する
プリント/アラート