社員日記

4月
25

かつて「パスワード管理のススメ2013」というタイトルで社員日記を書きましたが、それから早5年……その間にセキュリティに関する出来事や事件・事故もいろいろありました。
その中で、話題として取り上げたうちの一つに、「パスワードを定期的に変更する、というルールはあまり意味がないのではないか」というものがありました。

その他に「パスワードは定期的に変更すべき」という一般的なルールについても、あまり意味はないという意見があります。
住所や氏名などの個人情報は不正侵入の時点で漏洩している可能性が高く、またクレジット番号などを利用した金銭搾取も短期間で行われることが多いそうですので、変更の合間で不正侵入が発生したら変更しても手遅れになります。
一方で、例えばメール盗聴など長期的な侵入であれば確かにパスワードを変更すればそれ以上の漏洩は防げます。……ですが、侵入に気付いて変更したならまだしも、たまたま定期的な変更で防げたのだとしたら、そもそも漏洩自体に気付いていなかった、もしくは変更した時点でも気付いていないという潜在的な問題が発生していることになります。
少なくとも簡単なパスワードや使い回しのパスワードのレベルで定期的に変更するよりは、最初から複雑なパスワードをセットして侵入自体に備える方が望ましい、と言われています。

 

当時からセキュリティに詳しい人は声を上げていたものの、一般的にはパスワード定期変更そのものは昔からある常識というせいもあってか、あまり浸透はしていなかったと思います。
それがここ1年の間に「パスワードの定期変更はすべきではない」という方向の論調が一気に強まってきた感があるのでご紹介いたします。

 

まず、定期的な変更ルールを提唱したとされる研究者が、そのルールは結果的に間違いだったと自戒した記事が紹介されました。

<パスワード「90日ごとに変更」は間違い? ルール提唱者が「後悔」>
http://www.itmedia.co.jp/news/articles/1708/18/news072.html

 

この件に合わせてなのかどうかわかりませんが、彼が所属していたNIST(米国国立標準技術研究所)が発表するガイドラインにおいて、定期変更を推奨する文言が消え、むしろ定期変更をすべきではないという改訂がなされました。

<「パスワードは定期的に変更してはいけない」–米政府>
https://www.newsweekjapan.jp/stories/world/2017/05/—–2.php

 

日本でも、総務省の「国民のための情報セキュリティサイト」でパスワードの定期変更が推奨から否定に方針転換したという報道があり、話題になったのでご存知の方も多いかと思われます。

<「パスワードは定期的に変更する必要なし」、総務省の方針転換話題に 「むしろパターン化する方が問題」>
http://nlab.itmedia.co.jp/nl/articles/1803/27/news130.html

 

改めて、何故パスワードの定期変更が問題なのかを説明いたします。

例えば、3か月ごとにパスワードを変更するという指示に従い、「Password1」⇒「Password2」⇒「Password3」⇒……と変更したとします。
最初の「Password1」が何らかの問題で漏洩した場合、侵入者にとってはパスワードを変えるまでは侵入し放題の状態になります。でもある時から「Password2」に変更したから安心、となるでしょうか?
……侵入者からしたら、多分「Password2」に変更したんじゃないかと推測してまず試すでしょう。これでは変更した意味がないのと変わりありません。
では「Password1」⇒「Password20」⇒「Password888」⇒……と法則性なく変更すれば推測はしにくくなります。でも今度は自分自身が「今のパスワードはどれだっけ?」と悩む羽目に……結局法則性のある変更になってしまいがちになるのです。
定期的に変更するというルールが逆にセキュリティの低下を招いている、という現実があるためにこのルールは不要であるという論調になってきたいます。

もちろん、「Password」などのように発覚しやすいパスワードを使っていて変更しなくてもいい、という話ではありません。
例えば前述のNISTが現在推奨するのは「パスフレーズ」です。スペースなども使用可能で文章のように長い文字列であれば、見た目に意味のある言葉でも問題ない、とされています。
(辞書に載っている単語2~3個程度であればパスワードとしては弱いとされますが、数が増えれば組み合わせもその分膨大になるので有用である、ということです)
とはいえ、パスワードの長さに上限がある場合や、必ず英数字以外の記号も混ぜるように強制される場合もあります。このあたりのルールがある程度統一されないとパスフレーズだけで対応するのも限界があります。
そして前回も指摘したように、パスワードの使い回しは避けるべきです。たくさんの異なるパスワードを管理する、という事態には変わりありません。

 

最後に、この日記を書いている最中に、新たな技術に関するニュースがありましたのでご紹介いたします。

<パスワードに依存しない認証「WebAuthn」をChrome/Firefox/Edgeが実装開始、W3Cが標準化。Webはパスワードに依存しないより安全で便利なものへ>
http://www.publickey1.jp/blog/18/webauthnchromefirefoxedgew3cweb.html

 

この技術が今後のスタンダードになるかどうかはまだ分かりません。米アップル社が今のところ参加していないなど、業界の足並みが揃っていないのが現状です。あるいはもっと優れた技術が登場する未来だってありえます。

 

いずれにしても、身の回りのすべてのパスワードが不要になる日々が来るのは、早くてももう少し先の話になりそうです。でも、パスワードに関する常識は今後も変わり続けるでしょう。
ですので、パスワードの適切な管理という手間だけど大切なこの問題と、当面は付き合っていかなければならないのだと思います。

 

セキュアMAX

4月
15

新年度

新年度がスタートしてから半月が経ちました。新入社員の方々は、新しい環境に少しずつ慣れ始めた頃でしょうか。

話は変わりますが、今年に入ってから、給与の事務処理を行うご担当者様からのお問い合わせが例年より多いかな、と感じております。お問い合わせは、主に給与に関連する以下の改正内容などでした。

↓<国税庁> 配偶者控除及び配偶者特別控除の見直しについて
https://www.nta.go.jp/users/gensen/haigusya/index.htm

↓<日本年金機構> マイナンバーによる届出・申請についてと平成30年3月からの様式変更について
http://www.nenkin.go.jp/oshirase/taisetu/2018/201802/2018022001.html

↓<協会けんぽ> 平成30年度の協会けんぽの保険料率は3月分(4月納付分)から改定されます
http://www.kyoukaikenpo.or.jp/g3/cat330/sb3130/h30/300209

↓<日本年金機構> 子ども・子育て拠出金率が改定されました
http://www.nenkin.go.jp/oshirase/taisetu/2018/201804/2018040301.html

法改正がありますと、改正内容に準じてプログラム変更を行う必要があります。来年の2019年5月1日には新しい元号が始まり、2019年10月1日には消費税率が10%に引き上げられ、軽減税率制度が実施されます。

↓<首相官邸> 天皇の退位等に関する皇室典範特例法について
https://www.kantei.go.jp/jp/headline/taii_tokurei.html

↓<国税庁> 平成31年(2019年)10月1日から消費税の軽減税率制度が実施されます
http://www.nta.go.jp/about/organization/hiroshima/topics/syohi_keigen/index.htm

お客様にご迷惑がかからないよう、これまで以上に法改正や制度の変更内容を調べて対応していきたいと思います。

  (^-^)

4月
5

桜の季節

平成30年度がスタートしました。新生活が始まった方もたくさんいらっしゃるかと思います。弊社にも新しい仲間が2名加わりました。まだまだ緊張の日々かとは思いますが、早く環境に慣れて遺憾なく力を発揮していただきたいなと思います。

新年度のスタートと桜…というと、関東以西のイメージで、どうしても秋田では1ヶ月弱は遅れてしまいますね。私は大学時代を関西で過ごしましたので、初めて入学式の時期に、大学構内の桜が満開だったことに感動したことを覚えています。入学後にサークルの新入生歓迎コンパに参加したときは、桜の名所の公園で行われるのにも関わらず、既に完全な葉桜で風情がないなと思ったり。。。それでも花より団子ですから、楽しいお酒を飲むことはできました(笑)

そういう意味では、秋田ではちょうど新しい職場や学校に慣れたころ、花を愛でながらおいしくお酒が飲めるという意味では、そちらの方が得なのかな??と言う考えに至りました。少し遅めの年だと、大型連休と満開が重なることもあるので、桜の名所は大賑わいですね!

今年は、比較的暖かい日が多くて、開花予想も例年より早まるようです。そうかと思えば、日記を書いている今日(4月4日)、県北の内陸部にお伺いした際には突然の雪に周りが真っ白になるほど。なかなかすんなり春は訪れてくれないのかな。。。と苦笑いしました。

長い冬を経て、草木が芽吹き日に日に暖かくなるこの時期は、1年の中で最も好きな季節です。今年度一年、希望に胸をふくらませ、何事にも前向きに取り組んでいきたいと思っています!

Boo

3月
25

近づく春

暖かい陽気な日が増え、もうすぐ冬が終わりそうです。
鳥海山の麓でも雪の隙間から地面が見え隠れしています。
暖かい気温が続けば、すぐにでもふきのとうが顔を出しそうです。

写真はにかほ高原に寄った時に撮ったもので、
鳥海山が良く写っています。
雪が解け始めているように見えます。
季節の移り変わりによって様子が変わっていくのを眺めるのも
気分転換になりそうです。

by.タイプA
鳥海山_20180319

3月
15

2月初め、今年の初釣りを実行してきました。
2月でしたので、気温はマイナスになっており、かなり厳しい状況でしたが、
風と波の無い日を狙っていたので、天候としては抜群のコンディションでした。
ポイントは秋田でイカ釣りと言ったらここという場所で行いました。
ヤリイカの仕掛けについてはGoogle先生で調べると出てくる組み合わせで行いました。
(仕掛け:餌巻きイカスッテ、電気ウキ、塩漬けした鶏ささみ)
鶏ささみについてはこの時のためにあらかじめ用意しておきました。
また、餌の仕掛け以外にエギングも行ってみました。
(エギング:イカ用の疑似餌を使った釣りのこと)

午後11時過ぎに釣りを始めましたが、状況が良かったこともあり、
午前3時ころまでで、30cm以上のヤリイカを6杯もあげることができました。
そのうち、2杯はエギングで釣ることができました。

海が荒れているとイカが沿岸によってこないため天気のいい海が荒れていない日を狙っているのですが、
1月、2月と週末は必ず海が荒れていたので、3月の現在まで行けていません。

初夏までヤリイカシーズンですのでチャンスがあればまたチャレンジしたいと思っています。

だるまさんがウィリー

s_DSC_0437