セキュリティってなんだろう?

企業のセキュリティシステム構築に参加していた元SEが、セキュリティについて考えてみた。

パスワードは管理者にとって都合がいい。

パスワードが認証方法として完壁か?というと、全然そんなことはありません。

パスワードによる認証は、「知っている=本人、知らない=他人」という単純な公式に則って行われます。

この公式が不変の事実ならよいのですが、パスワードというのは「知識」ですから、いくらでももれるものです。

「知識」という無体物によって認証を行うというのは、ある意味で鍵や通行証などの有体物で認証を行うよりもやっかいな側面を持っています。

鍵や通行証は悪用しようと思ったら、少なくとも盗んだり複製したりしなくてはなりません。

悪意のある犯罪者にとっても努力が要求されるわけです。

しかし、知識には形がありませんから、利用者の何気ない一言から他人にもれてしまうことが多々あります。

また、その伝播速度もたいへん速いのです。

これはパスワード方式の認証が持つ構造的な欠陥と言ってよいでしょう。

現在主流のパスワード・暗証番号はこのように、非常に脆弱な構造をもった認証方式なのです。

詳細は後述しますが、構造的な欠陥をなんとか回避するために、「パスワードは長大で複雑怪奇にしなければならない」やら「一度決めたパスワードは定期的に変更しないとダメだ」「いくつかパスワードを使う場合は、全部違うものにしなきゃ」「メモに書いたりしちゃダメで、全部暗記しないとね」「それができない場合は、銀行は知りませんよ。

責任は利用者にあるんだからね」という各種の制約ができてしまったのです。

つまり、皺寄せはみんな利用者に集中するしくみなのです。

では、なぜこんな方法が金融機関をはじめ各種のネットワークシステムなどで使われているのでしょうか? これはひとえに作成者側の都合によるものです。

認証のためのしくみは、利用者の利便性や安全性を慎重に考慮すると、たいへん高価なものになります。

サービスの提供者としてはコスト上昇は避けたいので、コンピュータと相性のいい、つまり何か特別な機械などを必要とせず、ソフトウェアをちょろちょろっと変更するだけで実現できる認証システムをいろいろ考えたわけです。

そこで、一番手聞がかからずコストが低かったのがパスワードということです。

暗証番号はそのパスワードの中でも、「合い言葉に数字しか使えない」というさらに制約の多いしくみですから、ものすごく銀行本意の作られ方をしていることがお分かりいただけると思います。