■なぜ自治体のパスワードは分かりやすい(と思う)のか

事実は小説よりも〜というが、IT人材なら毎年受ける社内セミナーのインシデント事例に載っているような情報セキュリティインシデントはやはり起こり得る。

今日ニュースを騒がせた事例で言うと、「外部に持ち出し許可されていない重大な情報をUSBで持ち出し」「途中で寄り道をして(あろうことか1番の悪手である飲酒を行い)」「それを鞄ごと無くした挙句」「後の記者会見でパスワードの桁数と使用している文字種別まで言ってしまう」というお粗末加減。

これだけで30分くらいの教材が出来てしまう満漢全席フルコース事例である。今って令和だよな？？

この事例の中で特にやばかったのは、

「後の記者会見でパスワードの桁数と使用している文字種別まで言ってしまう」

だろう。

桁数と文字種別まで言ってしまえば、総当り攻撃用のツールを使えば簡単に解析されてしまう、というITに携わる人間なら当たり前のように知っているであろうことを知ってか知らずか情報開示してしまった時点で、相当ITリテラシーが低いんだろうな…と思わざるを得ない。

自治体名のアルファベットがTwitterのトレンドに乗ってしまった今回のインシデントだが、

「そもそもなんでそんなに簡単なパスワードを設定した｣と推測され、トレンドになってしまうほど騒がれたのだろうか。

俺は、未だにそういう自治体が多いから(もっと言うと、ネットでは馬鹿にしつつ、そういったパスワードで運用に携わったことのある人が多いから)だと思っている。

あっ、俺？言わせんなよ。

■何故簡単なパスワードとなるのか

1番の要因は、「扱う人が非常に多いから」だ。

システムの種類や大小によって様々だと思うが、システムの開発先、運用者、また顧客側の担当者など、多くのステークホルダーが関わっている場合、そのシステムの利用者が一定分かり良いパスワードに設定されることが多い。

(自治体で内部向けヘルプデスクを設置している場合、各担当者からパスワードを確認された際に電話口で分かりやすいアナウンスが出来るよう『配慮』されているパターンもあるだろう)

開発と運用が同一ベンダーの場合、比較的ランダムなパスワードを設定することがあるが、入札によって対応ベンダーを決定する自治体という特性上、異なるベンダーに分かれてシステム運用がなされるケースもあり、その場合は自治体名などを文字ったパスワードが設定されることが多いと考えられる。

また、セキュリティの観点から定期的にパスワードを変更する運用が理想とされているが、それらステークホルダー全員への周知を行うのが手間という理由から、大体1年に1回、場合によってはシステム導入から1回もパスワードを変更していないという自治体も非常に多い。

■パスワードのパターンについて

とはいえ、自治体名をそのままパスワードに用いている運用は少ないだろう(……だよな？)

通常、情シス担当として気休め程度にはパスワードにランダム性を導入したいというのが心情だろう。

啓発の意味を込めて紹介するが、多いケースとしては以下であろうか。

・自治体名に何かの単語をつけるパターン(city,system,unyo,そのシステムに固有する単語等。taxとか)

・"i"を"1"や"!"、"a"を"@"、"z"を"2"など、見た目が近いものに置換するパターン

・現在の西暦やリリース時の西暦をつけるパターン

etc.....

こういうパスワード運用をしているやつ、内心ヒヤヒヤしてるんじゃないか？

俺？だから言わせんなって。

■最後に

どこかの自治体や企業のシステムを運用している人達には、同様のパスワード設定がなされていないか、パスワードの変更が定期的になされているかの確認が飛んでくるだろう。

ご愁傷さまだが、これを見直すいい機会にしようぜ。

俺もお前もな。

Permalink | 記事への反応(3) | 18:30

ツイートシェア