IT

こまめなパスワード変更は無意味!?会社の情報を守るなら生体認証か二段階認証!

2016年3月10日

昨日、情報セキュリティの記事を書いたら

タイミングがいいのか悪いのか、こんな記事が日経に。

パスワード頻繁変更NG  米調査、生体認証など有効 パソコン、企業は再考を

情報漏洩やハッキングリスクから身を守るための方法として、よく勧められるのが、こまめなパスワード変更なのですが、今回のアメリカの大学の調査では、こまめなパスワード変更に意味はない、それどころか、セキュリティレベルが下がる可能性すらあるそうです。

なぜかといと、こまめにパスワードを変更していると、パスワード変更自体の面倒さが手伝い、他人やプログラムが推測しやすいパスワードを設定してしまいがちになるから。

面倒な上に、効果が薄い、とあっては、正直パスワードのこまめな変更なんてやってられないですよね。

 

お金はかかるが比較的導入が楽な生体認証

とはいえ、大事な情報が入ったファイルなどには設定しないわけにはいかない。会社の場合は特にそうなわけですが、上記の記事では、パスワードに頼るのではなく、「生体認証」や「二段階認証」を有効に活用すべきとの提案で締めくくっています。

生体認証と二段階認証、日本で比較的盛ん、というか、メジャーなのは生体認証の方でしょうか。

日本で絶大な人気を誇るiPhoneをはじめ、他のスマートフォンでも、特に高級機では指紋認証機能は標準搭載されるようになってきています。それ以外にも銀行のATMでは静脈認証対応しているものがあったり。

実は、PCの周辺機器にも指紋認証しないとPCを開けないようにする機能を追加するものが多くあります。

なので、会社のPCのセキュリティに不安があったり、マイナンバーが入っているので特定の人にしか使ってもらいたくない場合などは、パスワードのこまめな変更よりも、こうした生体認証機能の付いたPCの周辺機器の導入を検討した方が良いでしょう。ちょっとお金はかかりますが、ハードを取り付けて設定するだけだし。

生体認証をお考えの方は、こちらの記事なんかもどうぞ。

マイナンバー対策に、生体認証ログインを試してみた

 

堅牢だが知名度がいまいちな二段階認証

一方の二段階認証については、日本ではちょっと知名度が低いかもですね。特にITリテラシーが低い層には。ぶっちゃけ、わたしのFacebook上の「友達」も大半は知らないか、やってないと思う(笑、いや、笑えないんだけど)。

で、二段階認証が何かわからない人のために、簡単に説明すると、FacebookやTwitterなどのネットサービスにログインする際、通常はIDとパスワードを入れますが、それに加えて、もう1つ、その場限りのパスワードを入れるというのが二段階認証。

この「その場限り」のパスワードは、IDとパスワードを入れると、事前に登録していた自分のスマートフォンにSMSで飛んできます。なので、事前にアカウントと自分のスマートフォンを紐付けしておく必要があるわけですが、ITに弱い人にとってはまずこれがハードル。

ただ、登録しているスマートフォンを持っていないとパスワードがわからずログインできないので、遠くの誰かがなりすましでログインしようとしてもできない。一度限りなので、あとでSMSをのぞき見られてもそのパスではもうログインできないため、セキュリティは高くなります。

IMG_0535

自分のGoogleアカウントにログインしようとすると、自分のスマホにこんな感じで認証コードが届きます。

実は、このサイトの認証にも二段階認証を使っているのですが、こちらはSMSは使わず、ワードプレスのプラグインとスマホアプリのGoogleAuthentictorというもの使っています。

こちらは、メールで一度きりのパスワードが飛んでくるのではなく、30秒ごとにパスワードが新しくなっていくというものですが、SMSを使う場合同様に、登録している自分のスマートフォンがないと使えないし、30秒では総当たりもできない(しても、普通は不正ログインとして検知される)のでかなりセキュリティは高いと言えます。

IMG_0536

サービスごとに別々のコードが生成され、30秒ごとに新しくなります。

ただ、二段階認証は、社員個人のスマホと二段階認証を紐付けたり、使っているソフトの方が対応していないと、会社で勝手に導入するのがかなり困難、というところで、生体認証に比べると、会社として使っていくにはちょっとハードルが高いかもしれませんね。

ただ、業務でソーシャルを使うなら、最低限、二段階認証だけは設定しておきたいです。

IMG_0533

Facebookは、アカウント設定からセキュリティ画面で、ログイン承認をオンにするだけ

IMG_0534

Twitterも、アカウント設定からセキュリティ設定からログイン認証をオンにするだけ

多少面倒でも、アカウントを乗っ取られる面倒に比べたら、全然たいしたことないですよ。

 

今後はマイナンバーカード認証も?

ちなみに、これは余談ですが、現在発行が遅れているマイナンバーカードですが、こちらにはICチップが内蔵されていて、そのなかに電子証明書というものが入っています。

マイナンバーカードは1人1枚しか発行されないので、必然的にこの電子証明書も1人1つとなります。

政府はこの電子証明書を用いた、公的な個人認証機能を一般に開放するとしており、マイナンバーカードの普及が大前提とはなりますが、生体認証や二段階認証以外に、パスワードよりも安全性の高い方法として、こちらの電子証明書を用いた認証も今後は用いられるようになっていくのではないでしょうか。

ていうか、いつになったら、わたしのマイナンバーカード交付通知書は届くんだ…。

 

あと、余談の余談で、二段階認証を設定できないということでついさっき退会した楽天なんだけど、

楽天

退会しても、あの悪名高きメルマガは別で解除しないといけないんだとか。Oh…、ザ・楽天クオリティ!

実は、Amazonも二段階認証に対応していないんだけど、アメリカAmazonでは去年末より対応が始まっているらしいので様子見です。ていうか、Amazonは二段階認証とは別の仕組みでセキュリティが確保されているので、別にいいんですが。

名古屋のブロガー社労士の日記TOPへ戻る

良かったらシェアお願いします!

  • この記事を書いた人

社会保険労務士 川嶋英明

社会保険労務士川嶋事務所の代表。「いい会社」を作るためのコンサルティングファーム「TNC」のメンバー。行動経済学会(幽霊)会員 社労士だった叔父の病気を機に猛勉強して社労士に。今は亡くなった叔父の跡を継ぎ、いつの間にか本まで出してます。 3冊の著書のほか「ビジネスガイド」「企業実務」などメディアでの執筆実績多数。

-IT