セキュリティってなんだろう?

企業のセキュリティシステム構築に参加していた元SEが、セキュリティについて考えてみた。

かくして破られるしくみは使い続けられる。

暗証番号やパスワードのもとになっている考え方を見てきましたが、いかがでしたでしょうか。

利用者はどうしても「銀行=お金を預かっているところ=安全にはうるさいはず=そこが使っているしくみ=暗証番号は安全」と、とっても好意的な等式を作りがちなのですが、「案外いいかげんっぽいな」と肌で感じていただければOKです。

「安全なはず」の暗証番号が、実は「構造的にいつか破られるもの」だったり、それを回避するための手段は「こまめに番号を変更する」「推測されやすい番号にしない」など、ユーザに責任があるかのようです。

実際、「生年月日を暗証番号にしているようでは、利用者に落ち度があったのだから賠償は」なんてセリフも出てきてしまうわけです。

暗証番号が4ケタなのも、パスワードの有効期限が決まっているのも、何か数学的な根拠があって「これなら十分に安全だから」と自信を持って決められた数値ではありません。

そんなしくみを用意されたにもかかわらず、責任だけ負わされたらたまらないですよね。

サービスを提供する側の責任をもっと重くするガイドライン作りなどが進められていますが、差し当たっては自衛が必要です。

暗証番号を作るときは、反射的に電話番号の下4ケタにしないで、この内容を思い出してみて下さい。