1. ホーム >
  2. FUJITSU PCセキュリティラボ >
  3. なぜ人は、安易なパスワードを使うのか?

FUJITSU PC Security Lab.

富士通がお勧めする Windows.

なぜ人は、安易なパスワードを使うのか?

記事の要約

  • さまざまな認証手段のうちで、最も広く使用されているパスワード。複雑にすれば利便性を損ない、簡単にすることで高まる漏えいリスク。
  • 使う側、使わせる側にとって安易なパスワード認証。推測の容易なパスワードの使用や、複数のシステムでのパスワードの使い回しが、なりすましや不正アクセスの要因に。
  • 不正ログインへの脆弱性の原因ともなっている8文字以上のパスワード管理。記憶の限界を超えるパスワードに代わって注目される、本人の特徴が鍵になる生体認証。

全文を読む

アクセスしてきた相手を識別する「認証」はセキュリティの基本だ。数ある認証手段のうち、最も普及しているのは「パスワード」だろう。しかし実際には、容易に推測できてしまうパスワードが横行しているのが現状だ。セキュリティエバンジェリストとして知られる辻伸弘氏に、課題と対策について聞いた(全3回連載)

辻 伸弘(つじ のぶひろ)

ソフトバンク・テクノロジー所属。主に、コンピュータの弱点を洗い出し修正方法を助言するペネトレーションテストに従事する。民間企業、官公庁問わず多くの検査実績を有する。現在ではセキュリティエバンジェリストとして、TVやインターネットを通じた情報発信も積極的に行っている。監訳に『実践Metasploit』(オライリージャパン)など。

「認証に基づくアクセス制御」がセキュリティ対策の基本

認証には様々な方法があるが、広く用いられているのは「ID・パスワード」の組み合わせによるものだ。しかしそれも、複雑にすれば利便性を損なうし、簡単なものにしてしまうと、推測されたり、漏えいしたりするリスクがある。

ソフトバンク・テクノロジーの辻伸弘氏

ソフトバンク・テクノロジーの辻伸弘氏

そこで、より認証を強固なものにするため、ワンタイムパスワードを生成するハードウェアトークンを用いた「二要素認証」や、携帯電話のショートメッセージなどでパスフレーズを送る「二段階認証」、PKIに基づく「電子証明書」、あるいは指紋や静脈、顔形といった個人の身体的特徴による「生体認証」などの方法が提案されてきた。

これら認証方式にはそれぞれ、堅牢性やコスト、利便性といった観点から一長一短があると、セキュリティエバンジェリストとして知られるソフトバンク・テクノロジーの辻伸弘氏は指摘する。

「例えばパスワードは、既存システムを改修せずとも導入できますが、パスワードを必要とするシステムが増えるほど、それを利用する従業員の手間が増えてしまいます。またハードウェアトークンは認証を強固にしてくれますが、複数持ち歩くと面倒です。コスト面としても電池切れにも気を付けなければいけません」(辻氏)

ID・パスワード認証の課題とは?

現在、最も広く利用されているパスワード認証について辻氏は、「単体で見た場合、使う側にとっても、使わせる側にとっても、安易な方法です」と語る。

パスワードのみの認証には、いくつかの課題がある。まず、適切な長さと複雑さを持ったパスワードを、従業員に設定させるのが難しい点だ。結果として、推測されやすいパスワードが使われたり、複数のシステムで同一のパスワードが使い回されたりする。このことが、なりすましや不正アクセスの糸口になるのだ。

辻氏はその業務の中で、過去に流出したID・パスワードのリストを検証することも多いと言うが、そこには推測しやすいパスワードが、かなりの割合で含まれているという。

「例えば、『000000』などの安易なパスワードが使われていたり、文字数が7文字以下だったりというケースが多く見られました。一方“アルファベット、数字、記号”という3種類の文字を組み合わせたものは非常に少なかったのです」(辻氏)。

残念ながら企業システムにおいても、安易なパスワードが使われがちだという。「ペネトレーションテスト(脆弱性検査)の一環として、PC内に保存されている情報を基にパスワードの強度をチェックしていますが、やはり『易きに付く』傾向があります。『password01』『password02』『password03』……というケースもありましたし、またActive Directoryで文字数を指定すると、その範囲で最小の文字数を設定していることが多いですね」(辻氏)

安易なパスワードはなりすましを容易に

なぜ、これだけ「パスワードは複雑なものにしよう」と言われているのにも関わらず、安易なパスワードが横行しているのだろうか?

辻氏の見解はこうだ。「ユーザーは何も、不正アクセスされたいわけではありません。単純に“記憶できるパスワードにしておきたい”と考えてのことでしょう」

つまり、増え続けるパスワードを何とか覚え、利用しようとするユーザーの意識が、不正ログインに対する脆弱性を生んでいるというのだ。

生体認証
〜「知っているもの」でもなく「持っているもの」でもなく〜

今回とりあげた様々な認証方法は、「あなたしか知らないこと(What you know)」と用いる手法と、「あなたしか持っていないもの(What you have)」を用いる手法に大別できる。だが前者は、誰かに知られたり、推測されたりする恐れがあるし、後者は「もの」を失くしてしまう可能性がある(例えば、ワンタイムパスワードを生成するハードウェアトークンが電池切れしても、失くしたのと同様の事態だと言える)。

一般的にパスワードの文字数は、8文字以上にすることが推奨される。しかしアメリカ国家科学賞を授与された心理学者ジョージ・ミラーは、人が日常的に覚えられる数字などの意味の固まりは、7つが限度だとした。このことは「マジックナンバー7」として知られるが、8文字のパスワードを人が管理することの限界を示すものと言えよう。

そこで、パスワードに代わる認証手段として注目されているのが、「あなたそのもの(What you are)」で認証する「生体認証」だ。本人の特徴がそのまま鍵になるため、他人によるなりすましの可能性は極めて低い。生体認証には、指紋や顔形、音声や筆跡などさまざまな手法があり、手のひら静脈認証もその1つだ。

富士通パートナー及び当社担当営業とお取引があるお客様は直接担当者へお問い合わせ
ください。
電話でもご注文・ご相談を承りますので、右記窓口までご連絡ください。

富士通購入相談窓口

0120-996-186受付時間 9時〜19時

Intel Inside® 飛躍的な生産性を

  • インテル® Core™ i7 vPro™ プロセッサー
  • インテル® Core™ i5 vPro™ プロセッサー
  • インテル® Atom™ プロセッサー

Intel、インテル、Intel ロゴ、Intel Inside、Intel Inside ロゴ、Intel Atom、Intel Atom Inside、Intel Core、Core Inside、Intel vPro、vPro Inside、Celeron、Celeron Inside、
Itanium、Itanium Inside、Pentium、Pentium Inside、Xeon、Xeon Phi、Xeon Inside、Ultrabook は、アメリカ合衆国および/またはその他の国における Intel Corporation の商標です。