守る者と攻める者
この連載タイトル「セキュリティ・ダークナイト」は、筆者の大好きな映画「ダークナイト」から拝借している。第1回では、この連載タイトルについて以下のような説明をしていた。
ひねりのないタイトルなので気付かれた方も多いと思うが、これは有名な映画のタイトルから拝借している。その映画の登場人物である悪の象徴ともいえるジョーカーは、ゲームを楽しむためには自らの命をかけることも惜しまず、相手を翻弄(ほんろう)する。
それに対し、正義の象徴バットマンは、何があっても殺人は犯さないという大前提のもと自身の正義を貫こうとする。
ジョーカーは、バットマンを自分自身と同じタイプの人間ととらえ、バットマンに自身を殺させることで彼を悪に染めようとするが、バットマンは自身の正義でジョーカーを殺さない。ジョーカーにとってもバットマンは楽しみの対象、いわば「おもちゃ」であるためジョーカーもまたバットマンを殺そうとはしない。
双方はさまざまな行動を起こすものの互いの関係により、どちらかが消えることはない。そして、その中で互いに進化をし、果てしない攻防を繰り返す。
互いのスタンスを崩さない守る者と攻める者——われわれが日々利用しているネットワークの世界も同じようなことがいえるのではないだろうか。
いま読み返してみると、セキュリティにおける現状は、この様相がさらに色濃くなっているような気がしてならない。
この「ダークナイト」という映画について調べ直したところ、全米公開日は2008年7月18日であった。この最終回も連載の回数(番外編を含む)でいうと第18回目に当たる。18日と18回目、筆者にとっての終りであり、始まりとしたいという意味を込め、今回を最終回とさせていただこうと思う。最終回では、筆者がこの連載を通じて得たもの、考えたことを記事の幾つかを振り返る形で皆さんにお伝えしたい。
終わらない「パスワード定期変更」議論
まずは第6回「パスワードの定期変更という“不自然なルール”」(2011年2月4日公開)から振り返ってみよう。この記事は最も多くの方に読んでもらえた記事かもしれない。
この記事ではパスワードクラックのツールや手法を紹介するとともに、いまだに当たり前のように対策として考えられている「パスワード定期変更」の効果の薄さと、皮肉にもそれによって誘発される「複数のサービスでの同一パスワードの使い回し」の怖さについて解説したものだった。
この記事を書いてからもう3年の月日が経った。この頃にはまだ「リスト型攻撃」という言葉もなかったが、現在では当たり前のように「他社から漏えいしたと思われるIDとパスワードを利用して〜」という、いまやお決まりとなった文言が書かれたリリース文とともに、多くの被害件数が報告され、金銭的(実際には換金性の高いものへと交換するポイントが主だが)被害も増加している。
筆者は複雑なパスワードを設定し、使い回しをやめるという対策を幾度となく啓発してきたが、結果としてはいまだ被害が無くならない状況である。おそらく使い回しは「分かっちゃいるけど、やめられない」のだろう。
「分かっちゃいるけど、やめられない」と「鉄則」の関係
その状況がなかなか無くならない理由の1つは、幾つかの「鉄則」を示すのみで、その実施方法が示されないことで、結果として無理難題となっていることが挙げられる。ここでいう鉄則は、筆者が啓発し続けている、下記の2点である。
- 長く、多くの文字種を用いた強固なパスワードを使用する
- 複数のサイトで同じパスワードの使い回しをしない
筆者が見聞きしてきた限り、この鉄則を示された多くの方は「そんなこと言われても沢山の複雑なパスワードは覚えられない。すぐに忘れてしまう」といった反応をする。(試しにTwitterで「パスワード」を検索してみるのもいいだろう)。また、鉄則を示されるだけで、実施方法がはっきりしないことにより、パスワードは暗黙に「記憶するもの」と思い込んでいる方も多いように感じる。
もちろん、この記事をお読みの方々はセキュリティ意識が高いと考えられるので、それぞれの方法で実現されているかとは思うのだが、それは一握りの方々だと認識する必要があると思っている。自分ができているからといって、他人が同じようにできるとは限らないということは忘れてはならない。
Copyright© 2014 ITmedia, Inc. All Rights Reserved.