海の向こうの“セキュリティ”

英国の諜報機関がパスワードのガイドライン/最も怪しいトップレベルドメイン ほか

英国の諜報機関がパスワードのガイドライン、7つのTipsを提示

 「セキュリティ」というものを考える上で「パスワードはどうあるべきか」は古くて新しい問題ですが、そのような中、英国の諜報機関であるGCHQ(Government Communications Headquarters:政府通信本部)のCESG(Communications-Electronics Security Group:通信機器セキュリティグループ)がCPNI(Centre for the Protection of National Infrastructure:国家インフラストラクチャ保護局)と共同でパスワードに関するガイドライン「Password guidance: simplifying your approach」を発表しました。

 これまでは「強い(=長くて複雑な)パスワード」を設定すべきとすることが一般的でしたが、それではユーザーへの負担が大きい上、結果的に使い回しなどに繋がるため、必ずしもセキュリティレベルを上げることにはならないとして、今回のガイドラインでは、パスワードに対する「アプローチ」を簡単にすることで、ユーザーの負担を減らすだけでなく、IT部門のサポートの負担をも減らすことができるとし、その具体的な方法として以下の7つのTipsを提示しています。

  • Tip 1:Change all default passwords
  • Tip 2:Help users cope with password overload
  • Tip 3:Understand the limitations of usergenerated passwords
  • Tip 4:Understand the limitations of machinegenerated passwords
  • Tip 5:Prioritise administrator and remote user accounts
  • Tip 6:Use account lockout and protective monitoring
  • Tip 7:Don't store passwords as plain text

 例えば、パスワードそのものに関する推奨事項としては以下のような例が挙げられています。

  • ユーザー自身でパスワードを設定する場合は、望ましくないパスワードをブラックリストにして設定時に弾くようにする
  • パスワードを自動生成する場合は、ユーザーが覚えられるように以下のような文字列を使う
    - 4つのランダムな単語からなる文字列
    - 子音(C)と母音(V)をCVC-CVC-CVCのように並べた文字列

 ほかにも、パスワードそのものに関するものだけでなく、遠隔地からの利用には2要素認証を用いるといった認証の仕組みを含め、さまざまな推奨事項が紹介されています。

 各Tipの詳細については原典を参照していただくとして、この中で目を引くのは、「Tip 2」の解説中で赤い文字を使って強調されている以下の文言です。

Regular password changing harms rather than improves security, so avoid placing this burden on users. However, users must change their passwords on indication or suspicion of compromise.

 そして、パスワードの定期変更よりも以下の実施を推奨しています。

  • ログインを監視して通常とは異なる使用を検知
  • ログイン試行の成功・不成功の詳細についてユーザーに通知(ユーザーは自分によるものでないログイン試行があった場合には届け出る)

 また、パスワードを一括管理するソフトウェア(パスワードマネージャー)は確かにユーザーの助けにはなるものの、当然ながら完璧に堅牢というわけではなく、今では攻撃者の恰好の攻撃対象となっているとし、リスクを十分に認識した上で使用すべきとしています。

 一方、このガイドラインの公開を踏まえ、英BBCのニュースサイトでは、ガイドラインの内容を引用するとともに、ユニヴァーシティ・カレッジ・ロンドンのSteven Murdoch博士とAngela Sasse博士のコメントを中心にまとめた「How to pick the perfect password」と題した記事を掲載しています。

 記事では、ガイドラインでも指摘されている「パスワード定期変更の問題点」と「パスワードマネージャーの使用上のリスク」に加えて、複雑なパスワードや長いパスワードはスマートフォンなどのモバイルデバイスで入力するのが非常に面倒である点を挙げ、そもそもパスワードだけで認証するという仕組み自体に問題があると結論付けています。

 パスワードを盗み出す手法は、総当たりや予測によるものばかりではありません。例えば、フィッシングなどのソーシャルエンジニアリング的手法でパスワードが盗み取られてしまった場合には、どんなに長くて複雑なパスワードであっても、その「強度」に意味はなくなります。一番危険なのは、「強いパスワード」を設定しさえしていれば安心・安全だとする「油断」でしょう。真に堅牢に守りたいのであれば、ユーザー名とパスワードだけで認証するのではなく、いわゆる「多要素認証」や、通常と異なるログインの検知などの仕組みも導入すべきであり、ユーザーにだけ「使い回しをせずに、かつ強いパスワードを設定する」といった(実現困難な)負担を強要するのは全体から見てバランスが悪いのです。

 セキュリティ専門家の間ではすでに指摘されていた点であり、これらの点を(すべてではないにしても)考慮したシステムやサービスもすでに珍しくはありません。その点で言えば、驚くほど目新しい内容というわけではないのですが、それでも、今回のガイドラインやBBCのニュース記事は、簡潔にまとめられており、システム管理者やサービス提供者のみならず、より多くの方に「パスワードというもの」を改めて考えてもらうための良い資料と言えるのではないかと思います。

TLDごとの疑わしいサイトの割合をまとめた「最も怪しいトップレベルドメイン」

 トップレベルドメイン(TLD)の数が急激に増加する中、米Blue Coat Systemsは、1万5000社以上の企業および7500万人以上のユーザーからの数億件のウェブリクエストを分析した結果をまとめた「The Web's Shadiest Neighborhoods(最も怪しいトップレベルドメイン)」を公開しました。

 この中で、フィッシングサイトやマルウェアなどの配布サイトといった「要注意サイト」の割合がTLDごとにまとめられています。

「要注意サイトと結び付いているTLD」トップ10(2015年8月15日現在)
ランク トップレベルドメイン(TLD)名 要注意サイトの割合
1 .zip 100.00%
2 .review 100.00%
3 .country 99.97%
4 .kim 99.74%
5 .cricket 99.57%
6 .science 99.35%
7 .work 98.20%
8 .party 98.07%
9 .gq(赤道ギニア) 97.68%
10 .link 96.98%

 .zipと.reviewドメインに占める要注意サイトの割合が100%というかなりショッキングな数字が目を引きますが、この調査結果はあくまでBlue Coat Systemsのユーザーが実際にアクセスしたサイトを調べたものであり、それぞれのドメイン内のすべてのサイトを調べたわけではないことに注意が必要です。あくまで「参考情報」程度に捉えておくべきものでしょう。

「セキュリティ人材」はどこにいる?

 日本国内に限らず、セキュリティ人材は世界中で不足していると言われていますが、そのような中、米セキュリティベンダー「Secure Mentem」社の社長であるIra Winkler氏による「The myth of the cybersecurity skills shortage」と題したコラムがComputerworld誌に掲載されました。Winkler氏は米国の諜報機関NSA(National Security Agency:国家安全保障局)や軍関係で働いた経歴のあるセキュリティ専門家で、その自らの経験に基づいて、現在の世の中に蔓延する「セキュリティ人材不足」との主張に根本的な間違いがあると指摘しています。

 まず「セキュリティ」というものは、それ単独で成立する独立したものではなく、コンピューター分野を横断するものであり、そもそも企業や組織におけるセキュリティ担当は新人(新入社員)にできるようなものではなく、開発や運用などの「経験」があって初めてできるもの。実際、10年以上に渡ってセキュリティ専門家として一線で活躍している人たちは、システムやネットワークの運用経験などを経て「移って来た」人たちが大半であり、「セキュリティ」でキャリアを始めたわけではないという点をWinkler氏は強調しています。つまり、サイバーセキュリティに関する学位やハッカー(クラッカー)としての経験は重要でなく、システムやネットワークの運用経験を積む中で自らのスキルアップを望んでいる人材に、OJTやトレーニングなどを通じて学ばせるべきであるとしています。

 また、Winkler氏は喩えとして「訓練済みの兵士が採用できないと嘆く軍隊などないのに、なぜ政府機関や民間企業はサイバーセキュリティの専門家が足りないと嘆くのか」と、セキュリティ人材に対する世の中の認識の「おかしさ」も指摘しています。

 そしてWinkler氏はコラムの締めの言葉として以下のように述べています。

Forget about finding people with cybersecurity degrees. Forget about hiring hackers. Look for the people with a willingness to expand their skillset. I guarantee that you will stop complaining about a lack of talent, and your security program will benefit.

 米国と日本では雇用形態が違うので、Winkler氏の考えをそのまま日本でも適用できるとは思いませんし、そもそも企業の業種や規模をはじめとするさまざまな違いによって、求められる「セキュリティ人材」も違ってくるのは当然です。一概に「○○であるべき」という言い方はできないでしょう。また、外部のセキュリティベンダーを有効に活用することも重要です。Winkler氏の主張は選択肢の1つとして捉えれば良いでしょう。

山賀 正人

CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。