情報ダダ漏れの原因は経営層? トホホなセキュリティ対策の現実:662nd Lap
セキュリティインシデントが絶えない中で、企業では「添付ファイルに気を付けろ」などと情シスや経営層が強く従業員に注意喚起していることだろう。しかし、経営層こそが情報漏えいのリスク要因になり得るという結果が報告された。
毎年5月の第1木曜日は「世界パスワードデー」だ。2022年5月5日、AppleとGoogle、MicrosoftはFIDO AllianceとW3C(World Wide Web Consortium)が提唱する標準技術に沿って、Webサイトやアプリにパスワードなしでサインインする仕組みを提供する方針を示した。
そうした認証技術が普及するまでは、しばらくパスワードと付き合っていかなければならない中で、パスワードセキュリティに関する何とも残念な分析結果が報告された。情けないとも言える、その事実とは?
2022年2月7日にセキュリティ対策企業のソリトンシステムズが「日本人のパスワードランキング2021」を発表した。
第1位は「123456」で、これは同社が本調査を開始した2020年から2年連続で1位となった。2位は「password」、3位は「000000」、4位は「1qaz2wsx」、5位は「12345678」、6位は「123456789」、7位は「111111」、8位は「sakura」、9位は「dropbox」、10位は「12345」と、どれもよく見たことがあるものばかりだ。
これは、2021年に発覚した209件の情報漏えい事件のデータから分析したものだ。つまりこのランキングは、流出したパスワードのランキングでもあるということだ。安易に設定したパスワードを使ってはいけないということは何度も言われていること。もちろん会社の情シスや上司からも強く通達されていることであり、もはや常識レベルのことだが、いつまでたってもなくならないのが現状だ。
本題はここからだ。PCゲームの総合情報サイト「PC Gamer」が2022年5月18日に掲載した記事によれば「使ってはいけないパスワード」を多用するのは経営者や管理職だという。
本調査はセキュリティ対策企業のNordPassが実施したものであり、ソリトンシステムズの調査と同様に、流出したデータを分析して導き出された結果だという。この分析によれば、「123456」が22万405件、「123456789」が6万4594件も使われていたという。また、経営者自身の氏名をパスワードに使ったケースも多いという。
何とも危機感のない経営陣もいるものだとあきれてしまう。もちろん一般従業員だから、経営陣だからと差をつける必要はないが、情報が漏えいしたとき、経営に近い情報が漏れるのはやはり経営陣からだ。安易なパスワードの設定は会社経営にも影響しかねないと考えると。看過できないことだ。
従業員自身の設定をあらためて見直すとともに、情シスの皆さんもパスワードの見直しについて社内に重ねて通達すべきだろう。
上司X: 経営者や管理職の人々も、適当なパスワードを使っていることが判明した、という話だよ。
ブラックピット: 嘆かわしい話ですねえ。
上司X: エラい人もやっぱり“人”ってことだ。簡単なパスワードを使いがちなのは皆同じなんだろうな。
ブラックピット: いやいや、ちょっとよく分かんないですし。やっぱり使っちゃダメじゃないですか。
上司X: 数字の並びや連続なんかは使っちゃダメなパスワードの最たるものだけど、最近ではキーボードの並びを流用したパスワードもすぐ破られるそうだよ。「qwerty」だの、「poiuy」だの。
ブラックピット: まあそりゃそうでしょうよ。登録時に脆弱(ぜいじゃく)性のあるパスワードをはじくサービスもあるじゃないですか。あれをもっと強化すればいいんですよ。
上司X: そうだな。だが、人の注意に頼るだけでなく、やっぱりシステムからのフォローがあってもいいかもね。でもなあ、パスワード考えるのも覚えるのも面倒なんだよなあ。
ブラックピット: 3つの単語を組み合わせるのが強力らしいですよ。「lemon+apple+grape」みたいな。
上司X: それは聞いたことがある。けど、覚えられる自信がないなあ……。使い回しをしない、覚えやすいランダム3語を組み合わせる、そういうことは分かっているつもりなんだが……ま、ともかくこういうニュースを見るたびに、そろそろパスワードを変えないとなあ、とは思うものの更新してこなかった。今度こそは! ……たぶん。
ブラックピット(本名非公開)
年齢:36歳(独身)
所属:某企業SE(入社6年目)
昔レーサーに憧れ、夢見ていたが断念した経歴を持つ(中学生の時にゲームセンターのレーシングゲームで全国1位を取り、なんとなく自分ならイケる気がしてしまった)。愛車は黒のスカイライン。憧れはGTR。車とF1観戦が趣味。笑いはもっぱらシュールなネタが好き。
上司X(本名なぜか非公開)
年齢:46歳
所属:某企業システム部長(かなりのITベテラン)
中学生のときに秋葉原のBit-INN(ビットイン)で見たTK-80に魅せられITの世界に入る。以来ITひと筋。もともと車が趣味だったが、ブラックピットの影響で、つい最近F1にはまる。愛車はGTR(でも中古らしい)。人懐っこく、面倒見が良い性格。
Copyright © ITmedia, Inc. All Rights Reserved.