とある会社で、何度言っても理解してもらえなかった、セキュリティリスク。
論理上の危険性と、実際運用したときのリスクが異なるという物。
実際運用するとユーザーは想像できないような行為をよくやる。だから、ユーザーに何かさせるという行為は実は非常にセキュリティ上リスクがあるのだ。たとえば、毎月パスワードを変更させるとか!
他人には想像しにくいもの…。「nekono299(ねこのにくきゅー)」なんてどうかしら?(悲しき女子ヘルプデスク物語:殿中でござる!――送ったメールは止められない (4/4) - ITmedia エンタープライズ)
パソコンの技術レベルが一般よりもやや高いはずのヘルプデスク女子。が考える難しいパスワードがnekono299。実際問題コレ。人間には9文字のパスワードに見えるのだが、機械には5文字のパスワードに見えるのである(w
セキュリティ上辞書攻撃というものがあり、人間が思いつくinu neko saru などの単語はハッキングツールに登録されているのである。そして、ハッキングツールに登録されている文字は1単語で1文字とみなされる。したがって、このnekono299というパスワード。人間には9文字に見えるが機械からはneko-no-2-9-9 という5文字に見えるのである。頭の良いツールだと299 774 5963なども登録されているだろうから、下手をすればneko-no-299で3桁のパスワードとして機械ではハックされるかもしれない。そうすれば1秒未満でクラック終了だ。
こういう、人間の思考と、機械(ハッカー)の思考が異なる。ということから、セキュリティーホールは生み出させる。つまり、人間が増えれば増えるほどセキュリティーは脆弱になるである。
別な会社ではPCのBIOSにもパスワードを設定しろとかあったが、こういうのも論理的にはセキュリティが強化されるが実行的にはセキュリティが低下する行為であったりする。なぜかって?パスワードをBIOSとサーバーで同じ物にする人がでるからさ。暗号強度が弱く、ハックしやすいBIOS上のもろいセキュリティを突破してBIOSパスワードが破られた瞬間に、サーバーに侵入されるというもろい構成にして運用する人がでちゃうからさ。だとしたら、BIOSパスワードはかけずに1種類の複雑なパスワードを必死に覚えてもらい、ログイン時のみに打つというのを徹底させる方がマシ
セキュリティは論理的な物ではなく、運用する人間がいて、その人間の中にはセキュリティに詳しくないパソコンにうとい、人間もいる。ということを、よくよく考えてやらないと。論理的にはセキュリティ強化され鵜が運用上セキュリティがザルになるなんてことはよくあること。でも、それは、運用する人間が悪いんじゃなくて、そうなることに思い至らなかった、セキュリティを作った人間が悪い。
しかし、コンサルさんなんかにセキュリティを依頼すると、こういう、人間から見て理解しやすいセキュリティ強化対策は経営層に理解されやすいという理由で多用されることがあったりする。しかし、実際はリスクが増加するケースがある。
セキュリティはあくまで、論理的に強化されるかどうかではなく、人間がそこに携わって、ミスや無知や怠けた場合にも強化されるかどうか?が重要なのである。
くれぐれもnekono299などというパスワードをシステムの重要な部位のパスワードにしてはいけない。だがソレを決めるのはシステムではなく、オペレートする末端の人なのである。初期パスワードは配れるとしても、毎月変える? そんなことしたら、たまたま1ヶ月だけ覚えやすいパスワードにしたら? そのときにたまたまクラックされたら・・・恐ろしい。
繰り返すが・・・これは、もろいパスワードを考える人が悪いのではない、パスワードを毎月変える=パスワードを忘れる=憶えやすい物にする。 という行為を発生させる。 パスワードを毎月変えるという行為そのものが危険なのである。
ちなみに、弊社の基本は・・・サーバー類は証明書を使った認証になっているので、物理的に証明書をもっていなければ、入ることがそもそもできない。パスワードを使う認証自体が、低セキュリティなので、毎月パスワードを変えるという行為自体はさらにそれを低下させる(覚えやすい=機械から見て破りやすい、パスワードを付けられてしまうというリスク)を増加させられるだけなのである。
とはいえ、弊社内にもパスワードもまだまだ残ってるし・・・セキュリティの道は茨の道だと思う。
