トップ SI 小さな会社のISMS 体験談 一覧 第3話 簡単すぎるIDとパスワード

第3話 簡単すぎるIDとパスワード―小さな会社のISMS>体験談

小さな会社のISMSをテーマに体験談を掲載しています。今回は「第3話 簡単すぎるIDとパスワード」についての話題です。

今回はIDとパスワード

前回までと同じ社員数10名ほどの小さな会社の話の続きです。 前々回はWindows Update、前回はセキュリティソフト導入の話でしたが、今回はIDとパスワードについてです。

多数のメンバのPCにセキュリティソフトを入れてまわって気づいたこと

前回までの話で触れましたが、メールなどで展開しても分からない人が多く、 結局ほとんどのメンバーは直接まわって、Windows Updateとセキュリティソフトを自分の方でインストールして回りました。

そこで気づいたことは、IPASS(アイパス:ログインユーザとパスワード)が単純すぎる点です。 業務経験の浅い社員の中には、そもそもパスワードを設定していない人もいました。 ユーザ名は100%名前で、重役の方で立ち会ってもらえない方はパスワードを教えてもらい行いましたが、 文字数が少なく単純すぎるパスワードでした。

都度パスワードの設定方法など教えてまわって、アカウントの再作成はセットアップし直したPCのみでしたが、 パスワードは全員に設定してもらいました。そして定期的なパスワードの変更をお願いして回りました。

なぜ、IPASS(アイパス:ログインユーザとパスワード)がゆるいとNGか?

残念だったのが、今まで常識でしょうと思っていたこともありリスクをうまく説明できなかったことです。 特にパスワードを設定していなかったり、ゆるいパスワードを設定している人ほど、 うざいという拒否反応があり、嫌な顔されました。

なので、今回は次からもうちょっと説明がうまくできるようにIPASSについて考えることにしました。

セキュリティが甘すぎると罪になる

シマンテックの調査とかセキュリティ関連の書籍や雑誌を見てみるとセキュリティ事故の原因は「従業員の不注意」が最多と記述されています。 情報漏えいが発生した場合に会社は平均で2億必要になるそうです。

注目すべきところは事故扱いということで、本来攻撃をうけたり、盗まれた被害者の立場が、 セキュリティが甘すぎると事故を起こした人となり損害を賠償しなくてはいけなくなるというところだと思います。 ファイル交換ソフトを使用して情報漏洩したら、会社は解雇になりPC1台の調査に数百万円請求されたり、従業員自身もひどいことになります。

サーバーやパソコンをのっとれば、中にあるものは完全に支配できるので、ログインのIPASSは最後の砦と言えると思います。 中にあるファイルもIPASSが最後の砦になります。なので、IPASSはセキュリティ対策の基本中の基本になります。 なので、営業でPCを持ち歩いて電車で網棚に置き忘れたりして、PCのパスワード設定を怠っていて情報漏洩したりしたら落した人が悪いです。

ログインアタックを集計

自分はホームページを公開しておりますので、簡単に攻撃者のログが見れます。

以下は2015年6月のインターネットの最前線に置いてあるWebサーバに対するログインアタックの集計です。 検討材料になると思い集計してみました。

表 Webサーバに対するログインアタックの集計
施行ユーザ施行回数全体から見た比率
root9677897.5%
admin1720.2%
test980.1%
guest860.1%
ftpuser680.1%
その他20312.0%

Windowsではないのでちょっとユーザ名は異なると思いますが、必ず存在するrootユーザを施行する回数が全体の97.5%でした。 Windowsの場合はAdministratorとかguestがこれにあたると思います。後はそれに比べるとわずかになりますが、 5番目まで上げるとadmin、test、guest、ftpuserといったユーザで管理やテスト、共有するユーザで使われそうなユーザ名、ミドルウェアのデフォルトで作成されるユーザなどが多いので これらは簡単に推測されるユーザと言えると思います。

そして、個人のサーバで1日当たり3000回以上のログイン失敗のログがありました。 自分の保守していたサーバで1日数万とかあった記憶がありますので、これが企業のサーバーの場合はもっと多いと思います。

どのようなパスワードがいいか?

IDに関しては、Windowsを立ち上げるとユーザ名が出てきますし、 レンタルサーバとか共用利用者のユーザ名がpsコマンドの結果とかで出てくるところがありますし、 ユーザ名を工夫しても対策にならないかもしれません。パスワードが要と思います。

パスワードは「a~z、A~Z、0~9」の62文字のいずれかの組合せの文字列になりますので、 1ケタの場合は62回、2ケタの場合は3844回、3ケタの場合238,328回、4ケタで14,776,336回の最大施行回数となります。

これよりは早く解読されないだろうという参考として、試しにプログラムで4ケタの14,776,336回の繰り返し処理をしてみたところ、60秒で終わりました。 ですので、5ケタだと1時間、6ケタだと3日、7ケタだと半年、8ケタだと30年という計算になりました。

さすがに30年なら安全だろうということで8ケタ以上のパスワードが推奨ということになります。 ただし、ユーザ名やadmin123など推測されやすい文字列の場合パスワード辞書で瞬時に解読されてしまうと思います。 ランダムな文字列で8文字以上を設定しないといけないです。

今回の教訓について

重要と思われるのは、パスワードは常識なので皆設定していると考えてはいけないというところだと思います。 特に会社でルールが無く、セキュリティ教育が実施されていない場合、PCや重要なファイルにちゃんとパスワードが設定されないです。 8文字以上のランダムな文字列をパスワードに設定すべきです。

戻る

スポンサーリンク

サイト内のページ

言語
C・C++ /HTML /Java /JavaScript /PHP /シェルスクリプト

開発環境
Ant /Eclipse /gcc /gdb /Git /g++ /JDK /JUnit /ZAP

技術・仕様
Ajax /CORBA /Java EE(旧称J2EE) /JNI

ライブラリ/Framework/CMS
bootstrap /jQuery /Lucene /MyBatis /Spring /Struts /Seasar2 /WordPress

ITインフラ OSとミドルウェア
Linux /Windows /シェル
Apache/Tomcat /MySQL /Redis /Solr /vsftpd

ITインフラ PC 製品
ZOTAC

ITインフラ サーバー
Web公開サーバー構築

ITインフラ ネットワーク
プログラミング /機器 /構築

ITインフラ セキュリティ
公開サーバーのセキュリティ

SI
ホームページの作り方 /小さな会社のISMS

その他
IT用語 /ITスキル体系 /トレンド履歴

スポンサーリンク

関連サイト内検索ツール

zealseedsおよび関連サイト内のページが検索できます。

IPアドレス確認ツール

あなたのグローバルIPアドレスは以下です。

3.93.74.227

HTMLの表示色確認ツール

パスワード生成ツール

文字数のプルダウンを選択して、取得ボタンを押すと「a~z、A~Z、0~9」の文字を ランダムに組み合わせた文字列が表示されます。

ここに生成されます。

スポンサーリンク