ログイン認証の混乱(1) ~パスワード認証とSSO~ - 叡智の三猿

叡智の三猿

〜森羅万象を情報セキュリティで捉える

当サイトは、アフィリエイト広告を使用しています。
トップ > 間違ってしまった? > ログイン認証の混乱(1) ~パスワード認証とSSO~

ログイン認証の混乱(1) ~パスワード認証とSSO~

間違ってしまった? 認証(記憶・所持・生体) インシデント(セキュリティ・障害) 情報リテラシー(倫理・セキュリティ) 情報セキュリティ関連法規と事件・事故

20世紀、すでにログイン認証はIDとパスワードによって行われてました。

しかし、実態としての認証はカタチだけのモノでした。

当時、わたしは大きな製造業の社内SEでした。社員が使っているパソコンのメンテナンスを多くやってきました。利用者のノートパソコンのカバーを空けると、パスワードが書かれた付箋紙がキーボードの隅っこに張り付けられていることの多いこと多いこと・・・。

そこに書かれているパスワードも、氏名のローマ字だったり、誕生日だったり、123456 だったりと・・・誰でも推測できそうなパスワードのオンパレードでした。

すでにバブルは崩壊してました。バブル崩壊でリストラされた社員が、会社の個人情報を名簿業者に転売する事件があいついでました。それは、一種の社会問題でした。

しかし、会社は認証を強化する必要性をあまり感じてませんでした。

根本的な問題として、当時の中高年はパソコンを使うことが出来ませんでした。

社内のWindowsパソコン研修で、キーボードはナントカ操作できても、マウスになると社員は戸惑いました。講師がカーソルの動かし方やクリックのタイミングを教えるのは難しく、とにかく慣れることが必要でした。

そこに「ログイン認証」という難関を乗り越えろというのは、さすがに無理があったのです。

情報セキュリティの重要性は、アタマで理解しても、その壁を乗り越えるほどのスキルを持たない社員が多数でした。

しかし、認証を強化するべきという波は突然きました。

2005年に施行された「個人情報保護法」がきっかけです。

この法律のポイントは、事業者に個人情報の安全管理措置を義務付けたことです(20条)。この規定は、日本ではじめて情報セキュリティを法的に義務化した規定と言われてます。

23条では、第三者提供の制限を設けてます。

「あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない」

「個人情報保護法」が守られていることを第三者が認定する Pマーク への関心が高まりました。

当時、わたしが勤めていた会社でも、Pマークを取得するべく、取得のコンサルティングを行っている会社の方からこんなアドバイスを頂きました。

  1. パスワードは、アルファベットと数字を組み合わせ、8桁以上が望ましい。
  2. パスワードは、他人には教えず、紙には書いてはいけない。
  3. パスワードは、複数のシステムで違うものを使うようにする。
  4. パスワードは、長くても 6 カ月ごとに更新をするのが望ましい。
  5. パスワードは、試行回数の制限を設ける。多くても6回入力に失敗したら、一旦使えなくするのがいい。

2005年になると、さすがにパソコンの操作スキルがまったくない社員は少数派でした。

ただ、パスワード認証が、システムによって、強化されることに社員は戸惑いました。

特に「定期的なパスワード変更」と「システム毎に異なるパスワード」を両立することが困難でした。

会社では4つのシステムを使い、パスワードは3ヵ月毎に変えることが決められました。単純計算すると年間で、4システム×4サイクル=12個のパスワードを記憶しておく必要があります。

定期的なパスワード変更は、強制的に行われるので、逃げられません。ですので、結果的に社員は同じパスワードを使いまわしする状況でした。

情報システム部門もこの状況を見過ごすことはできません。

2010年あたりから、SSO(シングルサインオン)の導入に踏み切る会社が多く出始めました。

SSOが普及したのは、クラウドサービスが急増したことが背景にあります。会社は複数のクラウドサービスを利用することが必然的に増えます。利用するサービス数に比例して、IDとパスワードの管理数も増えます。

クラウドの推進は政府も一役担ってます。2018年には「クラウド・バイ・デフォルト原則」が示されました。これは、政府が取り扱う情報システムを構築する際に、第一候補としてクラウドサービスの利用を検討する方針を指します。

SSOを導入することで、利用者は煩雑なパスワード管理をしないで済むメリットがあります。

しかし、残念ながらすべてのサービスが、SSOに対応してるわけではありません。SSOを適用するサービスと、利用できないサービスが混在すると、パスワード管理がごちゃごちゃします。SSOの利便性はいまいち感じられません。

なんとなく混沌としたパスワード管理ですが、2017年にアメリカのNIST(米国国立標準技術研究所)から画期的なガイドラインが発表されます。

それは、サービスを提供する側が「パスワードの定期的な変更を要求すべきではない」旨が示されたことです。

定期的なパスワードの変更を要求することで、パスワードがパターン化して簡単になってしまうことや、使いまわしになることで、かえってセキュリティレベルが低下してしまうのではないかという懸念が浮上したのです。

総務省もNISTのガイドラインを受け、「パスワードの定期的な変更は不要」と、方針を切り替えました。

この方針転換は、ログイン認証をシンプルにする画期的な判断だと思うのですが、システム管理の現場は混乱します。

というのは、会社が導入したSSO自体が、「定期的なパスワード変更」を前提として、構築した仕組みだからです。

もし、パスワードを変更することなく、不正アクセスが実行されたら、SSOに紐付けられているすべてのサービスやシステムに被害が及びます。安全で確実なログイン認証を推進するはずのSSOが、サイバー攻撃の温床になるのは、皮肉な状況です。

ランキング参加中
知識
ランキング参加中
雑談
ランキング参加中
テクノロジー