学校が知りたいIT製品選定の勘所：パスワード管理・生体認証編【後編】「パスワード定期更新」の“悪夢”から学校を解放する認証手段とは？ (1/2)

教育機関がIT活用を安全に進めるために重要な役割を果たす認証。管理の煩雑さが危険な運用につながりかねないID／パスワード認証に代わる、教育現場にとって現実的な認証手段を考える。

[武田一城，ラック]

複雑かつ膨大なパスワードを覚えられる人はそう多くない

　皆さんは、8文字以上の大文字と小文字、数字、記号を組み合わせたパスワードを幾つ覚えられるだろうか。複雑で強固なパスワードであればあるほど、覚えられる数は減ってしまうだろう。

　ID／パスワード認証は、情報システムの認証手段として古くから幅広く利用されてきた。クラウドサービスやモバイルデバイスの普及でITがより身近な存在となる中、エンドユーザーが覚えなければならないパスワードの数は膨大になっている。教育関係者や学習者を含め、一般の人が数十〜数百種類のWebサイトやWebアプリケーションなどのサービスを利用することが、珍しくなくなったからだ。

　サービスごとに個別かつ複雑なパスワードを設定すればよいのだが、それが非常に難しい。最初は覚えていても、利用するサービスが増えて覚えるべきパスワードが増えるほど、覚えておくのがより大変になる。それぞれのパスワードを複雑にすると管理が難しくなるために、覚えやすさから安易なパスワードを設定してしまうエンドユーザーは少なくない。

　特定のサービスに複雑なパスワードを設定したとしても、さまざまなサービスでそのパスワードを使い回してしまえば、どこかのサービスからそれが漏えいしてしまった場合に認証が破られてしまう。ソーシャルネットワーキングサービス（SNS）や情報サイトなど全てのサービスに複雑なパスワードを設定し、それを覚えておくには、“超能力”に近い特殊能力が必要になってくる。

パスワード定期更新の功罪

　「パスワードの定期更新」という運用も、パスワード管理の難しさに拍車を掛ける。定期的にパスワードを更新すれば、第三者がID／パスワードを窃取した場合にも認証を破られる可能性が低くなる、という考え方に基づく運用だ。本来はセキュリティ対策の効果を高めるための運用なのだが、更新のたびに新たなパスワードが生まれることから、管理しなければならないパスワードをさらに増やす状況を生んでしまっている。

　ID／パスワードの漏えいが発生したり、その懸念があったりした場合には、当然ながら必ずパスワードを変更しなければならない。仮に漏えいしていても、パスワードを変更して漏えいしたパスワードを無効化すれば、不正ログインといった実害を防ぐことができるからだ。ただし定期更新は、前述の弊害があることに加え、効果についてはセキュリティの専門家の間でも意見が分かれており、その是非を判断するのは非常に難しい。

　エンドユーザーにパスワードの管理方法を自己責任として放置していることが、パスワード管理の問題をますます深くしていると考えられる。パスワードの管理をエンドユーザーの自己責任にするのは、限界に達していると言っていいだろう。こうした状況に対処するための手段として、ID／パスワード認証の代替策の採用がある。主なものを以下に示す。

併せて読みたいお薦め記事

学校が知りたいIT製品選定の勘所：パスワード管理・生体認証編

• 「パスワード」はなぜ漏えいし、破られてしまうのか？

教育機関のセキュリティ対策についてもっと詳しく

• 予算がなくても最低限やってほしい、学校のセキュリティ対策「3つのポイント」
• 「無線LAN」が学校のセキュリティ対策を台無しにする“真犯人”だった？
• 生徒を縛るだけのセキュリティ対策ならいらない――袖高と近大附属が白熱議論