2022-06-23

なぜ自治体パスワードは分かりやすい(と思う)のか

事実小説よりも〜というが、IT人材なら毎年受ける社内セミナーインシデント事例に載っているような情報セキュリティインシデントはやはり起こり得る。

今日ニュースを騒がせた事例で言うと、「外部に持ち出し許可されていない重大な情報USBで持ち出し」「途中で寄り道をして(あろうことか1番の悪手である飲酒を行い)」「それを鞄ごと無くした挙句」「後の記者会見パスワードの桁数と使用している文字種別まで言ってしまう」というお粗末加減。

これだけで30分くらいの教材が出来てしま満漢全席フルコース事例である。今って令和だよな??


この事例の中で特にやばかったのは、

「後の記者会見パスワードの桁数と使用している文字種別まで言ってしまう」

だろう。

桁数と文字種別まで言ってしまえば、総当り攻撃用のツールを使えば簡単に解析されてしまう、というITに携わる人間なら当たり前のように知っているであろうことを知ってか知らずか情報開示してしまった時点で、相当ITリテラシーが低いんだろうな…と思わざるを得ない。


自治体名のアルファベットTwitterトレンドに乗ってしまった今回のインシデントだが、

そもそもなんでそんなに簡単パスワードを設定した」と推測され、トレンドになってしまうほど騒がれたのだろうか。

俺は、未だにそういう自治体が多いから(もっと言うと、ネットでは馬鹿にしつつ、そういったパスワード運用に携わったことのある人が多いから)だと思っている。

あっ、俺?言わせんなよ。

■何故簡単パスワードとなるのか

1番の要因は、「扱う人が非常に多いから」だ。

システムの種類や大小によって様々だと思うが、システムの開発先、運用者、また顧客側の担当者など、多くのステークホルダーが関わっている場合、そのシステム利用者一定分かり良いパスワードに設定されることが多い。

(自治体で内部向けヘルプデスクを設置している場合、各担当者からパスワード確認された際に電話口で分かりやすアナウンスが出来るよう『配慮』されているパターンもあるだろう)


開発と運用が同一ベンダー場合比較ランダムパスワードを設定することがあるが、入札によって対応ベンダーを決定する自治体という特性上、異なるベンダーに分かれてシステム運用がなされるケースもあり、その場合自治体名などを文字ったパスワードが設定されることが多いと考えられる。

また、セキュリティ観点から定期的にパスワードを変更する運用理想とされているが、それらステークホルダー全員への周知を行うのが手間という理由から、大体1年に1回、場合によってはシステム導入から1回もパスワードを変更していないという自治体も非常に多い。


パスワードパターンについて

とはいえ自治体名をそのままパスワードに用いている運用は少ないだろう(……だよな?)

通常、情シス担当として気休め程度にはパスワードランダム性を導入したいというのが心情だろう。

啓発の意味を込めて紹介するが、多いケースとしては以下であろうか。

自治体名に何かの単語をつけるパターン(city,system,unyo,そのシステムに固有する単語等。taxとか)

・"i"を"1"や"!"、"a"を"@"、"z"を"2"など、見た目が近いものに置換するパターン

現在西暦リリース時の西暦をつけるパターン

etc.....

こういうパスワード運用をしているやつ、内心ヒヤヒヤしてるんじゃないか

俺?だから言わせんなって。


最後

どこかの自治体企業システム運用している人達には、同様のパスワード設定がなされていないかパスワードの変更が定期的になされているか確認が飛んでくるだろう。

ご愁傷さまだが、これを見直すいい機会にしようぜ。

俺もお前もな。

  • マルチバイトをパスワードにすれば少しは状況を改善できるのかもな…とふと思う

  • パスワードの中に@を多用するとセキュア且つ運用しやすいパスワードになるみたいだね。 要は、メールアドレスに使う記号なら打ちなれている。

  • 口調が治安悪くて犯罪者っぽいなという感想でした 内容はよくわからないけど情シスが面倒というところは分かった

記事への反応(ブックマークコメント)

ログイン ユーザー登録
ようこそ ゲスト さん