パスワード [セキュリティ研究室]

日付:
yellow こんにちは!
 ナビゲータのEVEです。

 X(旧ツイッター)でつぶやきましたが、昨日、情報処理安全確保支援士のオンラインセミナーに参加してきました。新しい情報を求めての参加でしたが、特筆すべき内容はありませんでした。それも、そのはずで、今回のオンラインセミナーの目的は、人材募集・・・。っというのは、中小企業向けに人材を派遣するのを目的としての、セミナーでした。疑問なのは、情報処理安全確保支援士として登録しているのだから、その名簿に基づき依頼をかければいいのに、わざわざ再登録させようとしている・・・?なんかセミナー自体に怪しさを感じましたが、その原因は、講演者から類推することができます。
 講演された方々は、経済産業省、IPA、情報処理安全確保支援士の方々だったのですが、情報処理安全確保支援士の方の話は、副業としてのセキュリティコンサルティングの話でした。どうしてここで副業の話をするかわかりますか? ・・・・?
 社会貢献という意味で安くコンサルティングを実施する意義はあるとは思います。ただ、正当な金額でセキュリティに対する費用を払えない会社が、このまま存続していいのか疑問です。本来残さなければならない企業を日本経済に残し、時代に取り残された企業が去っていくといった、日本経済の代謝を下げることになるような気がしますが、考え方が間違っているでしょうか?
 その一方で、NHKの朝ドラ「まんぷく」を見ながら、この世の中にない、人々の役立つサービスを提供したいという人々がいるというのも事実だと思っています?そんな人には役に立ちたいと思っています。そんなことを考慮に入れると、会社や、人を見てその判断を下すべきなのでしょう。それが、今回の人材募集に登録することにより実現されるのかというと非常に疑問です。冒頭に戻りますが、情報処理安全確保支援士の登録はいったいなんなのかって感じです。私の印象があっているかどうかわかりませんが、そんな疑問をもってしまったので、現在は登録していません。もうしばらく考えてからどうするのか判断したいと思います。
 そんな金曜日の次は土曜日ということで、セキュリティの日です。本日は、パスワードについてお話をしたいと思います。

[パスワード]

 昨日以下のようなコメントをX(旧ツイッター)に残しています。そんなコメントに対して、返信をもらいました。

[私のコメント]
総務省からは、パスワードの変更は不要だという指針もでてます。自社のセキュリティ基準、自己のポリシーに基づき設定してください。当プロジェクトでは、NISTの指針に従います。
返信[人生捨てるっす🍄@💙💛技術的な知見が薄くて感情的な情報処理安全確保支援士]
パスワードの変更は不要?パスワードの定期的変更ではなくて?

 個人的に定期的という言葉があってもなくてもどちらでもよかったのですが、ある程度の年齢になると指摘してもらえるってなかなかありません。そのため、感謝の気持ちを伝えたのですが、そのとき、自分の文章に配慮が欠けていたような気がしました。
 パスワードを変更するな!なんて、無謀なことを総務省が言っているような感じですよね?なんでこんなことを総務省が言っているのか説明し配慮がかけている部分を補足したいと思います。そして、時間があったら、NISTの指針について解説をします。

[定期的パスワード変更]

 定期的にパスワードを変更する場合、あなただったらどうしますか?
 例えば、大文字、小文字、特殊文字、数字を混合にして、8桁以上でパスワードを作ってくださいといわれて、最初に作ったパスワードが、「@Test001」だとします。その定期的にパスワード変更をする場合、次は「@Test002」といった感じで、その次は、「@Test003」とつけるような気がしませんか?なぜそうなるのかというと、定期的に変更しなくてはいけないパスワードは、紙に残すことができず、暗記しなくてはいけないのです。しかも毎日の業務が多忙で、そんな日々使うシステムのパスワードを毎回複雑にすることは不可能といっていいかもしれません。そんな現状が生んだパスワードが「@Test0001」で、そのような定期的なパスワード変更はかえってセキュリティを弱める可能性を指摘し、最初のパスワードをよく考え複雑なものにして、パスワードは変更しなくてもいいという方針を出したそうです。

[あとがき]

 本日は、時間が来たのでここまでとします。NISTの件については来週です・・・。
 ところで、アサヒビールとアスクルのランサムウェアの被害どうなっているのでしょうか?Copilotにちょっと質問をしたら、まだ復旧していないと回答がありました。アスクルは11月中旬復旧を見込みらしいですが、アサヒビールは見通しも立っていないそうです。先週私が考えるセキュリティ対策ですが、今のところ問題点は見つかっていません。自社システムへの適合を検討してみてご感想をいただければうれしいです

 では、また!

コメント

コメントを投稿