00:16
やりこなさないでください。
セキュリティのアレでございます。
動画でございます。
動いてくださいね。
今回セキュリティのアレ、出張編。
今回のテーマはパスワードでございます。
定期変更。
パスワード定期変更ということで、
熱いトークをクリエイティブルベルとなりました。
制限時間は30分です。
今日はね、トークゲストを呼んできましたので。
本当にありがとうございます。
本当にありがとうございます。
ということで、このメンバーで熱いトークをですね。
暗論を私向きで喋っていただきたいと思いますので。
どうぞよろしくお願いします。
ということで、今回。
パスワードの定期変更は、
ありかなしかじゃなくて、
パスワードの定期変更を裸にやめろっていうのはどうなのって話です。
もうだいたいそんな感じなのかもしれない。
定期変更ってそもそもどうなのか?
今までのこの2人だけの時は、
定期変更はおかしいよねっていうトーンでだいたい通ってました。
まあトーンだけで言うか。
それって本当にそうなの?っていう声って、
この2人からは出なかったじゃないですか。
なのでちょっと今回、
パスワードの定期変更について、
いろいろと、
ありやなしやどう表現すべきかみたいなところを、
ゲストをお呼びしまして、
やりたいと思います。
まずちょっとゲストの
自己紹介から。
パスワード定期変更愛好家の、
堀込竹田と言います。
竹田刑事と言います。
よろしくお願いします。
ありがとうございます。
今日は激論をぜひ。
もう一方、
お呼びしております。
北川です。
2回目ですよね?
そうですね。
音声の時に。
音声は大阪で。
あの時の無茶ぶりな感じで、
急にやりましたね。
という形で、
この4人、実質私よりも3人で、
バトルをですね、
できるようになりましたね。
私のつぶらな瞳での、
03:01
質問に、
エキスパートを教えていただこうと思います。
まず、
経緯的なことを、
定義しておいていいのかなと。
今回の経緯は、
総務省のアレでいいんですかね?
そこからの流れがあって、
IPAから、
IPAのアレ。
総務省が、
発表した、
これはプログラマーとか、
サービス事業者向け?
広告?
その資料の中に、
大きくパスワードを、
定期変更を、
おすすめするみたいな。
その文言を要件として、
あったらいいんじゃないの?みたいな。
他にもあったんですけどね。
強いのにしましょうとか。
NTTのセンターが、
大変なことやってます。
言っちゃいました。
その後に出てきたIPAの、
資料の中にも、
同じ文言があって、
大盛り上がりして、
それが消えた。
IPAはそうですね。
IPAは資料じゃなくて、
広告の。
広告ですね。
というところで、
2014年9月あたりで、
また、
パスワードの定期変更の話が、
盛り上がったというところから、
定期的に盛り上がりました。
この定期的をやめないですよね。
その中で、
辻さんが盛り上がった中で、
ちょっとじゃあこれは、
実際お話を、
実際あってやりましょう。
実はTwitterでも2回ぐらい、
やり取りしてますよね。
パスワードに関して。
パスワードの時に1回と、
IPAの今回で1回になりました。
Twitterでワッと盛り上がると、
トギャッターで全部まとめられて、
それが残るというのが、
本当にフルブラシになっている、
じゃないですか。
いろいろ、
観点とか、
どういう観点に見るとこうだとかって、
いろいろあると思うので、
その辺を一つに、
最終的に落とすところは、
こういう感じかなというところで、
聴いている方とかに、
そうなんだという風に、
お風呂に落ちる話ができれば、
いいかなというところで、
Twitterの140をやり取りしていても、
なかなか話も展開しないというところもあるので、
じゃあ終わって、
話をしようと、
という流れで今日、
最後の会が、
終わりです。
そこはね、いろいろ議論は戦わせている。
ちょっとそういう意味で、
結構、
本当に、
パスワードの定期変更は、
やるべきなのか、
やらないべきなのか、
0か1なのかというところで、
ぜひ、
お三方の意見を聞きたいと思います。
06:01
その前に観点を一つ、
絞っておいた方がいいと思います。
観点は、
これを聞いていらっしゃるような、
エンドユーザーがどうする、
あとはどこで使うパスワードの話かというのが大事です。
そうですね。
両方とも共通、
総務省にしても、
IPA関連にしてもそうですけど、
オンライン上の、
サービスでの、
ログイン、ログオンといいますか、
社内のアクティブディレクトリーとか、
そういうのに置いといて、
対象外ですね。
普段使い慣れている場所のパスワード。
そうですね。最近事故が起きているのも、
オンラインのサービスが多いので、
そこを今日は、
ちなみに、
例えば、ツイッターみたいな、
まあやられてもそんなに実在はないよ、
というパスワードと、銀行とか、
証券会社みたいな、
そういう、
やられたらお金に直結するパスワード、
2つあると思うんですけど、
どっちをイメージした方がいいですか?
それは、
分けなくても、
分けなくても欲しいんですね。
とにかく、
基本オンラインのサービスに対してはこうして、
それに価値というものが出てきたら、
どうしようか、
ということは別の話にした方がいいかもしれません。
では、私たちが使っているパスワードを、
定期変更をやるべきか、
やるべきか、やらないべきか、
定期変更を
するな、言うな、キャンペーン。
あ、ごめんなさい。
はい、ということで、
そのあたりからスタートしたいと思います。
どうでしょう、まずちょっと、
辻さんのきっかけとして、
始まったところは、
辻さんの、まず今の時点での
意見。
僕の意見ですか、定期変更に対する意見。
今、僕は定期変更はそんなにこう、
プライオリティ優先度を上げて、
やるほどじゃないかな、
というふうに思っているスタンスなんですね。
最近起きているいろんな
成りすましだとか、不正ログインでの
ポイント被害とか、いろいろ
処置を受けていますけれども、
それを考えると、パスワードが
弱いから破られた、というふうに考えられます。
例えばそれは、
提供されているサービスが、弱いパスワードしか付けられない
ようなものもありましたよね。数字、
何桁的なやつとか。そういうので、
弱いパスワードでやられたものは、
強いパスワードを付けられるようにしないといけない。
付けられるので、ユーザーは付けないといけないというのが
一つ目の対策だと思うんですね。
それに加えて、大抵のリスト型攻撃
というのは、どこからか漏れたものを
他のサービスで使えば、
使い回し同じパスワードをいろんなユーザーが
覚えられないから、
使い回していることによって、どんどん被害を拡大していく。
この2つの対策があると思って、
この2つがまだ、なかなかできていない
と思うんですよね。いろんなアンケートとか
見てみても、やっぱり
1つから
4つぐらいのパスワードをいっぱい、いろんなサービスで
使い回しているユーザーが多いというのが
アンケートに出ていたので、その2つがまだ
できていないのに、
強固なパスワードを付けて、
使い回しもやめて、
しょっちゅうという言い方が
定期的もしくは
09:01
一定期間内に変更するというのは
無理があるんじゃないかと思っているんですね。
今起きている被害をできるだけ食い止める
ということを考えたら、定期変更を除いた
この2つを
優先順位を上げてやるべき
なんじゃないかなというふうに思っています。
定期変更したい人は、してもいいとは思うんですけど
したければ、ただこの2つと
同列に扱っているユーザーが
広めるのは、
ちょっと対策が進まないんじゃないかな
ユーザーが無理やしというふうに
諦めちゃうような多い気がするので、
この2つもまだままならないように
というところが僕の立ち位置ですかね。
こっち側を先に聞きましょうか。
僕と同じで、
優先順位との問題で、
別にパスワードの
定期変更が全く無意味という
ことは
僕は思わないんですけども、
優先順位としてまず
複雑なパスワードを使うと、
サイトごとにパスワードを使う。
特に今一番問題になっているのは
リスト型攻撃でしょうから、
それが重要だと。
例えば
テニスのフォームとか
ゴールとスイングの
レッスンとかでも
いきなり5つの
物に指摘されると
できないじゃないですか。
まずは肘の使い方とか腰の使い方とか
それぐらいをまずフォーカスして
それができてから
フォーカスしたいという感じですね。
竹田先生の
話を聞きたい。
自分自身の立ち位置として
何か話を聞きたい。
なるほど、その通りだ。
そうですね、優先順位と言われれば
そうかもしれないけど
そうじゃないかもしれないかなと。
だから
対象としている脅威が
若干違うんだろうなと。
パスワードの強さ
というのは推測のリスクに対する
対策ですよね。
使い回しというのは
単のサービスに対する
単のサービスからの
漏えいに対する対策ですよね。
定期的という言葉で
パスワードとは何だみたいな議論になるので
たまにパスワードを変えましょう。
たまにパスワードを変えるというのは
当該サービスの
サービスそのものに
関する生の
パスワードが漏えいするリスクに
としての意味が
意味合いが違うのかなと思います。
だからそれぞれ対象としている領域が
違うから、こっちとこっちが重要だから
こっちはやめましょうという判断を
誰かが
偉い人が一律にやってこの通りにやれ
と言ってしまっていいのかなと。
それはケースバイケースで
いや実はこっちの対象サービスからの
漏えいに対するリスクと
あるいはそのインパクトが大きいから
そっちもちゃんとやりたいんだよという人が出てきたときに
いやいや専門家の皆さんは
12:01
それは意味ないと言っているからやめましょう
みたいなお話になっちゃうのがちょっと怖いかな
という、そこまで言える自信がないので
なんでみんなそんな自信になる
と言っているのかな
というのもちょっと疑問がある。
専門家の声として
パスワード定期変更は
あんまり意味ないよ
みたいなのがやっぱり大きく
出てくるというのがちょっと懸念されている。
あとはそういうことを言うと
例えばある企業が
そういうことを言うと
わーってこの会社は分かっていないね
みたいな感じで叩くようになっているのは
でも実はそれは本当は必要なケース
というのがあるんじゃないのかな
みたいなところがちょっとあって
あとそもそも今の
全体的な社会的に使われている
パスワードによる認証のシステムというのは
時々変更されることを
前提としてずっと使われてきた。
それが今後
特に何か明示的な
何かイベントが発生しない限りは
変更されないパスワード
というものになったときに
パスワードリストだとか
パスワードの情報そのものに対する
教員の側から見た
価値がすごく変わってきます。
それが
社会のバランスとして
今までの前提を
いきなり変えちゃっていいのかな
というところの不安感がある。
でもやっぱりそれでも
堂々でぶりだな
定期変更が
僕は全く意味がない
というスタンスではないんですけど
話がいろいろ
この記事も何回か定期変更
書いたことってあるんですけど
ケースによってはもちろん意味がある
あるときもあるというようなことを
書いているんですけど
全く意味がないか
全く意味があるのを
二極化した意見がどんどん
伝わっていく中で
丸まっちゃっているのは
よくないことだなとは思いますね。
今日はオンラインのサービスの話ですけど
すごく意味がある
一定の効果がある
分かりやすいレートとか
社内のネットワークで成り進ましをし続けられない
というようなものであるので
伝え方は
大事かなというところはあるんですよね。
先ほども言われた
二つに対して使い回しをやめよう
と
強固なものをつけましょう
と比べたときに定期変更を
オンラインのサービスで
比べたときに
どっちが優勢度高いかを考えると
武田さん的には
同列なんですか?
それともこっちの二つが先か?
難しいですね。
何を基準にするか
例えば強固なパスワード
と言うときに
それを
例えば100桁とか
50桁とか30桁とか
というふうなものにするか
というと
個人的にはオンラインの
いわゆるリバースブルート
15:01
よくある
パスワードで引っかからないぐらいの
強度があれば必須的には
何回もトライできないような対策
大抵はトラックアウト
それから実用上
正直8桁
ランダムぐらいあれば十分だろう
ちゃんと
数字なんか入れない
入れない
そんなに試行できない
トライできないから
よく使われるパスワードじゃなかったらいいでしょう
強度はそう
それから使いまわさない
使いまわさないも
使いまわさないって言ったって
定期変更の話とかよくあるんですけど
全然違うパスワードを全部に付けたときに
本当に今みんなが使っている
サービスだけのパスワード
全然違うものである程度の強度を持ったものを
本当に覚えられるのかというと
僕はちょっとそれだと思うんですよね
そうするとやっぱり何らかの
情報の偏い
似通ったパスワードを
違うサイトでも使わざるを得ない
んじゃないのかなと思うんですよね
だからそのレベルで
現実的にはOKで
そうすると変更するにしても
たまにちょっと変えると
ぐらいでも
リストが
実際に今数ヶ月から数年単位で
流出したパスワードが
を使ってコミュニティは
行われているわけですね
それはどこから流出したパスワードかということも
明らかになっているケースもあるわけですよ
で、あと
同じく
間違い話しちゃった
だから
実際にそのパスワード
パスワードが流通していて
数ヶ月から数年のサイクルで
それが発表されているような
ケースが存在するという中で
それを気にするのであれば
別に
変更していれば被害に遭わない
だからそれを一律に
やるという必要もない
つまりやりたい人
変更したい人、変更させたい人は
別にそれぞれ
それぞれの責任を持ってやればいいんじゃないかな
という気がします
ん?
優先順位が下ってこと?
優先順位が高いのであれば
複雑なパスワードの優先順位が高いのであれば
強制すればいいわけです
だから15桁以上付けろ
という制限に従って
基本も必ず入れるようにすればいい話ですし
サイトごとに
違うパスワードを付けさせたいのであれば
パスワードの一部をこっちで指定する
このパスワードを付けろ
あるいは第2パスワードにしてもいいですけど
サイト側で指定するパスワードを使わせれば
それを
他で使われれば
でも普通はそんなに
それぞれのパスワードの指定は違いますから
強制できるわけです
重要だったらやればいい
でもたぶんやらない理由があるわけです
だからそれは
定期変更と同じなのかな
ってことはどうです?
どれを優先順位を高くするかは
事業者もしくはユーザーが考えればいい話で
18:02
これはこれより大事だから
やめとけとか
やめとけって言えるのかな
ってことは
リモートですね
僕らはやめとけじゃない
言うなってこと
定期変更
したいとしたらいい
今の起きてる問題とかを考えると
どうしても
その先が僕の2つですね
強固なパスワードと
使い回しを減らすというところに
努力しないといけないと
僕は思っているんですよ
竹田さんが主張されている
たまに変える
パスワードを変えようみたいなやつも
もちろんずっと流通し続けているのであれば
変えたタイミング以上の
被害は起きない
以前は全部被害が起きてしまう
というのはあると思うんですけど
僕が思っているのは
パスワードが覚えられないというところがあって
たまに変えるというのも
効果はゼロじゃないから
僕はみんなが
パスワード管理ソフトを使っているんだったら
何も考えなくても
ストレスフリーにできると思うんですよ
ユーザーIDはワークサービスが適当に決めたり
メールアドレスですよね
パスワードはパスワード生成ソフトが勝手に作ってくれるし
自分は覚えなくてもいいから
変えようが変えないかどうでもいい
変えたら変えればいいとなるんですけど
ただパスワード管理ソフトを使っている人は
すごい少ないみたいなんですよね
僕がよく前に引用したやつでいうと
パスワード管理ソフト全体
単純に言って4.8%しか使ってないんですよ
だからこの4.8%の人たちは
やりたかったらやったらいいし
効果はゼロじゃないです
という風に言えるんですよね
でも一番多いのが
紙にメモしている
紙にメモして定期的に変えるときついと思うんですね
僕も紙にメモするのはOKだと思っている
できない人は
ソフトを使えない人は
うちの母親もやっているわけなんですけど
それに定期変更を加えたら
強固なパスワードと
ソフトの使い回しをメモできる
やっと
脱却することができたのに
定期変更やったら
私無理やわみたいな感じになって
あるんじゃないかと思って
紙にメモして
手帳とかメモしてというのを押すのであれば
定期変更を外した上
こっちからやっていきましょうというのが
一番現実的かなという
あと定期変更
変更してもどこかを使えますのであれば
変更したためにより
攻撃に
最悪になってしまうということも
あるんですね
それがよく言われることで
定期変更することによって
パスワードが弱くなる
例えば攻撃者のリストがあるとして
変更後が攻撃者のリストの
上位のパスワードにしてしまう
変更するたびに
パスワードが弱くなってしまう
だから弱いものを作ってしまう
あとは定期的に変更をするから
強いパスワードをつけるのを
放棄するという例もある
例えばこれが
統計を取ったわけでも何でもなくて
自分だったらそうかなとか
21:00
そういう話を聞いたかなというところがあるから
たぶんはっきり踏み落ちないところが
そこがあるんです
それはどういうことなのか
具体的にどういうパスワードか
自分がいた会社
ITメディアではないですけど
違う会社で
1ヶ月に1回必ずパスワードを
変えさせられるようなシステムがある
隣の人の話を聞くと
だいたいホゲホゲというパスワードがあって
後ろは01、02、03、04というのが
月ごとに変えていく
というぐらいの
変更を仕方をしている
それをホゲホゲ00とホゲホゲ01で
毎月変わっていくものだと
後者の方が強くなるんですか
弱くはなっているけど
そこでなんで弱くなるんですか
難しやすくなるというのがある
それは動きたい
強くなる場合もあれば弱くなる場合もある
うーん
弱くなるというのが
弱くなる場合もある
弱く弱くではなくて
どっちの場合もあるんです
運次第
必ず変えたら
攻撃を避けられる
定期的に変更することによって
だんだん弱くなっていく
というのは証明できない
すごい人数に
まずそれは
強いパスワードを
つけられている
強いパスワードのつけ方
というのを
一般の人たちは
誰も習っていないような気がする
何が強いパスワードなのか
分かっていれば
定期変更を
する必要も
ないといけない
あと時間がないので
動画なので
サクッと
まとまるわけがない
私個人的には
パスワードの定期変更を
すべきだという裏には
強いパスワードをつけられる
という前提があるのかな
定期変更することで
強いパスワードを
見直す機会が
どんどん強くなっていく
パスワードを定期変更することによって
パスワードが強くなっていく
強くしない限り
定期変更の意味がないんじゃないかな
と思っているので
パスワード管理ソフトがあれば
できそうな気がする
ただ
強いパスワードが何なのか
分からないし
パスワード管理ソフトも
使っていないので
定期変更でパスワードを
強いものを作ろうという感覚よりは
定期変更しろと言われたから
後ろに連番付けようかな
くらいの認識になっちゃうかな
という気はします
連番でもいいと思っている
そのうち連番じゃダメになるだろうけど
今の時点では
別に連番くらいでもよかった
そのものでの
マッチングしなければ
それだけでできるとは思う
それは強くはなっていても
弱くはなっていない
もともと
定期変更意味ないじゃん
24:01
と言い始めたのは
推測リスクに対して
発出されたパスワードが漏洩して
それを解く時間
あまり効果がないんじゃないか
発出されたパスワードが
見える状態のもので変えていって
たとしたって
何が意味ないんじゃないかということ
そもそも今は
昔ほど発出されたパスワードが
誰でも見える場所にあるわけじゃないから
昔言ってた対策に意味がないんじゃないか
という話が
そもそも意味ないじゃん
という議論が起こったのでは
その時に漏洩して
パスワードは実際今漏洩しているわけだから
そうするとそれがそのまま流通しているのは
個人的にはちょっと気持ち悪いな
自分が利用しているサービスの
管理者が誰だかは知らないし
そこが何までパスワード保存しているのか
発出しているのか
何号化しているのかも分からない
管理状態も分からないわけだから
あるいは自分自身のパソコンだって
完全にセキュアで自信があるわけじゃないから
そうすると
たまに変えるぐらいしといたほうが
ちょっと気分的には
際高かというぐらいの話なんです
そういうことを
言うな
みたいな感じに
言う必要もあるのかな
それがそもそも
セキュリティ誤解
および言うなキャンペーン
歴史もある
歴史が今もなお
引けられるものがたくさん
そうです
確かにそのあたりの
発言の
トーンが
ちょっと
意図しない方向に強調されること
たまにあるんじゃないですか
サニタイズは
これ危険だな
サニタイズは
言っちゃいけない
絶対言うな
それこそこれこれこうしたほうがいいよ
そんなことしねえなんて
頭おかしいじゃないかみたいな
言っちゃうとズレるっていう
何言ってんだろうこれ
サニタイズって言ったくらいがおかしくなります
ちょっと焦っちゃいます
言いたいなと
定期変更は
なぜ定期変更が
嫌われるか
というのは結構
強制されて嫌な思いをしている人が
多いかなと思うんですよ
それは勝手な家庭かもしれない
なんでこんなことしなきゃいけないんだと
ストレスを感じている
やっぱり読み直そうよっていう機運が
あるのは確かで
私もそれは
強制すべきじゃないだろうなと思っている
自分も実際そんなに変えないです
1年
1年から
数年以内に
それも
結果的に何かのイベントがあるから変える
別にそろそろ
変えなきゃいけないから変えよう
じゃなくて何とかある機会を
利用して
27:01
いろいろ変えちゃおうかな
という感じでやっている
ただ他の対策は
パスワードの強度と使い回ししない
これは強制しようと思えば
システム的にはやろうとできる
ただ歴史的にはそんなに
それをやってきていなかったから
いいことになって
それをやるユーザーが嫌がるからやらない
それがそんなに重要であれば
そっちも強制したときに
どれが優先度的にみんなの
受け入れられるのか
どれも受け入れられない
みんなやりたくない
だから
この話はしょうがないです
- どれもやりたくないんだったら
効果のある
高いものを優先
的にすべきじゃないですか
- 対象が違うわけですよ
パスワードの強度は
推測リスクだし
- 推測リスクとローエーションの
ラインクラックですかね
それは運ですよね
ちゃんとハッシュの
ちょうど解けそうな具合の
ハッシュがかかってたものがちょうど
ローエしたときにはそれは効果がある
生でローエすれば意味がない
だからそう考えると全て
費用対効果のバランスで
どれが果たしてメイクセンスするのか
といったときに
優先順位をどうつけるかは判断基準がない
どれが一番重要か
対象システムがはっきりしない限り
言えない
今起きてる事件を見てると
使い回しが一番優先順位
高いんじゃないかな
という風に思うんですよね
でも実際に
使い回しをアタックしても
そんなにヒットしないんですよね
え、どういうことですか
トライ失敗した
トライに対する成功
いろんな事件があるんですけど
だいたい平均すると
1,2パーとか
たまにでも十何パー出してるのもある
計算の仕方が
アカウントの数え方とか
回数っていうのはユニークIPがそうじゃないのかって
違うので
発表してる側がこういう意図で
どっちで発表するか分からないので
計算できないんですけど
1から10ぐらいの間で考えたらいいのかな
そうすると使い回してる人が
これだけ多いのに対して
そんなに高くないな
いや、高いよ
って思いますよ
何と比べると高いか
実際に
IPAのパスワードの調査でも
みんな平均すると
6桁以下のパスワードが
半数以上
IPAの発表で
IPAの調査
先日8月に出たやつが
6桁以上のパスワードを利用してます
どういう募集段階にも
もちろんよるでしょうけども
50数パーセント
だから
そう考えたらみんなが意外と
使い回している
現状に対して
それに対しての成功のヒット率を
全体の
利便性との
バランスで考えると
30:01
意外と
そんなに被害なくないかな
そこの人が被害に
合う個数かどうかはまだ分からない
じゃあ分からないと思いますけど
ただ報道ベースというか
件数ベースで見るとやっぱり被害は
多くて止まってない
そう考えるとそっちが優先なんじゃないかな
というふうに
僕は見ているんですよね
優先の決め方としては現状こうだから
これからやっていこうというところがあるので
その時に
その対策はしなくていいことになってしまうのか
現状が
今の流れだと
パスワードの変更は
他の対策の
に対して有害だから
影響を及ぼすから
やりときましょう
という風に
それはそこでしないことにしてしまって
本当にいいんだろうか
というところが
これもこれもそれぞれ重要だけど
今こっちからはやった方がいいよね
という話であれば
パスワード変更すると
みんな弱いパスワードつける
もちろんそういう
それを奨励することは
やるべきではない
そこはちょっと
それが働くケースもあるけど
ある時もない時も
それはあると思いますね
もう一つはだから
二要素認証だとか
ログインしたときに通知してくれる
機能だとか
そういったものがあれば
定期変更とかなくしても
大丈夫ですよね
二要素があれば
でも全部二要素の世界になるのか
ただ
二要素をしているんだけども
そのサービスだけは
二要素は有効ではない
あるいはやっぱり
複雑なパスワードも有効ではない
そろそろ
まとめないといけない感じになったんですけど
ちゃんと
話的に落ちるのかどうかは分からない
ちょっと整理させてもらって
いい感じですか
私が中立な立場に
頼ろうと思って聞いていた
目指すところは
優先順位はいるんですが
優先順位は
おそらく両方
GAともですね
両方ともそういう意味では
人それぞれだと
人それぞれの判断だったり
サービスが判断すべきだ
優先順位も
いろんなパターンがあってもいい
という考え方なのかな
人間だものみたいな
綺麗な感じでいく感じ
そうまとめるしかないな
もしかしたら利用者も
徐々にパスワードに対する認識
を勉強してもらえないのかな
というのが
私の感想だった
33:00
こういう意見がある
そのベースには
それぞれ優先順位があるべきだ
どれも有効だ
という考え方がある
それを利用者が
知らないことには判断できない
こういう意見の
戦いがあるということ自体を
もしかしたら
セキュリティに詳しい人だけじゃなくて
パスワードに
日頃接しなければいけない
利用者もちょっとずつ
勉強しなければいけないのかな
という気はちょっとしました
なんでパスワードの定期変更が
必要なのか
ベースの事件が
わからないじゃないですか
漏れてるとか
計算でなんとかできちゃう
みたいなところ
それを情報を持って
みんなが判断しなきゃいけない
時代になってきちゃったんだ
っていう
ダメ?
ダメ?
結論は?
素直な感想だと思うので
いいとか悪いとか
たぶんこの問題っていうのは
まだまだ
いろんな事件が起きて立場が
変わってくる可能性があるんじゃないか
たぶんそれはそう
都度やりますか
こういうの
立場の違いがあると思うんですよ
私みたいな人間は
本当のところはどうなんだろう
っていうのをずっと考え続けるのが
仕事みたいなところがあって
一般のユーザーが目の前にして
これは良い場合もあれば悪い場合もあるんだよ
みたいなことを言うと
どっちなのかはっきりしよう
っていう風に言われるから
分かりやすいメッセージを出した方がいい
みたいな
立場の人たちもいるわけですよね
特に今回の話っていうのは
おそらく立ち位置によって変わる
っていうけれども
総務省とIPAは何を出すべきなのか
っていうのってすごく難しい
ところがあるかなと思っていて
どっちを出したとしても
反論が出てきてしまう
っていうところなのかな
書かなかったら反論ないと思う
その時にはなんで書いてないんだ
って言わないと
これはちょっとあれですね
コメントの話とか
僕は今まで何も言わなくても
書いてたことを書かなくして
例えば世の中で
セキュリティの教育をするとか
そういう資格試験で
パスワード定義的変更には
意味がないから
奨励すべきではない
っていう選択肢がある
それは丸にするのか
パスにするのか
教育していかないといけない
大学を教えていく考え
その時に
みなさんパスワード定義変更しない方がいい
って言ってますけど
って言った時に
本当にしないって言ってしまっていいのかな
っていうのを
私の立場からは
理由を説明できない
36:00
そこは
今の時点で言えるかな
っていうところが不安があるので
言わないだけで
リアクションの立場が
そういう議論があわれるところは
とりあえず書かないことにしましょう
というのが丸く治まるわけですよね
だけど本当に
それでいいのか
一番初めのきっかけ
総務省からすると
その意図があったことかわからないんですけど
強制した方がいいんじゃないか
定義変更的なように読めたんですよ
機関を
有効機関を定める
という方があったので
定義変更は
強制はすべきではないか
もちろんオンラインにされるんですよ
LANとか組織内のネットは別の話ですけど
それがいいのかっていうのも
またちょっと
強制はしない方がいいということで
でも強制するかしないか
ここは結構ビジネスマターなような
気もするんですよ
あるいは
倫理というか
サービス精神なのか
結局弱いパスワードを
許しているわけですよね
4桁とか6桁とかつけられるわけですよね
弾かれない意味ですね
そういうのを強くすればやる感じで
セキュリティだと考える
でもそうするとお客さんが逃げるとか
利用者の利用機会が損失されるから
何とかしようというので
弱いパスワードを許しているわけですよね
そういう可能性もある
だからそれは
ある種
自由があるんですよ
採用する
だから
僕はそれを一律に
根拠なくこうじゃなきゃダメだ
というふうに縛りをかけるのは
どうかな
サービス提供する側の都合って
いろいろあると思うんですよね
パスワードを使えないとか
いろんな背景があって
ああなってたということもあると思うので
今でも強いもちろん強固なパスワードを
つけることができる余地もあるけれども
高畑さんがおっしゃったみたいに
弱いパスワードをつける余地も残っている
これは多分サービス提供側が
ギリギリのところまで頑張った結果
というのも中にはあると思うんですよね
でも完全に僕は
サービス提供側が全てユーザーを
保護しないといけないというふうに
僕は思っていたいんですよ
ロックアウトの機能がないよりも
あった方がもちろんいい
でもお客さんから逃げられてしまったら困る
というものがあるわけじゃないですか
それに考えるときには
僕よく車に例えて話をするんですよ
車って安全機能がたくさんある
エアバッグとか
ブレーキを流すとか
いろいろあったりするんですけど
そこまで頑張っても
それを運転するドライバーが
臨終運転者とか危険運転とか
危険ドラッグみたいなアイドルを
その土壌を今提供してくれている
余地のある土壌はあるけれども
ユーザーの方にもっと
強いパスワードと
使い回しをやれるというようなところ
余地はもちろんあるけど
それはやっちゃいけないんだよ
39:01
というふうに啓発していかなければいけない
というふうにずっと思っています
そろそろですね
イエスかどうかの感じで
締めにいこうかなと思っているんですけど
あと例えば
マンションだとかアパートを探すときって
例えばボートロックだとか
1階は誰だとか
赤カメラとか
そういう防犯機能って
結構みんな
最近はそうですね
だからこういうウェブサービスとかを
選ぶときにも
人用証明書だとか
パスワード登録に通じたとか
そういうことをみんな
ユーザーの方が
セキュリティという観点
防犯という観点で選んでいったら
対応しなければいけないでしょう
選んでもらうためのセキュリティということですよね
もっとそういう
視点が
ユーザーの方もそういう視点で
選ぶようにしていったほうがいいかなと思います
そうなっていくように
しないといけないんだろうな
そうなればサービス事業者の方が
ユーザーのアクションによって
行動を変えるかもしれない
で
そろそろあれですけれども
別にノーでもイエスでも構わないですが
定期的な連合と
強化なパスワードをつける
サービスで
複数のサービスで
同じパスワードを徹底したり
この3つがIPAの文書に出てたり
どこにでも出てくるようなやつなんですけれども
もうさっきから何度も
聞いてますが
今この事故が起きている
現状とかを踏まえて
ユーザーにできる限り
負荷をかけないように
事故の件数を減らしていこう
という啓発をするのであれば
使い回しと
使い回しをやめるということと
強固なパスワードを
可能な限りする
定期変更は努力目標
やりたいとはやれば意味は
ゼロじゃないので
というところで
今日のオチは
よろしかったでしょうか
もちろん他は自分で言っているので
僕はイエス
含んでいるのは
僕はまあ
ありきたりですけどその3つのバランスが重要
みたいな感じかなと
それぞれの費用対効果で
だからその1つだけを落とす
というのが
落とさなくてもそれを維持しながらやれば
いいんじゃないのかなと
その3つが負荷にならないように
それぞれバランスを取ってやればいいんじゃない
優先事項じゃないってことですね
じゃあこの負荷は
優先事項であれば強制してしまえばいい
ユーザーが
ユーザーが終わらなくなっちゃいました
ユーザーが
やるというアクション
強制するのはサービスの提供
サービス事業者の方なので
ユーザーが今優先すべき事項
いろんな専門家は
定期的な変更をやった方がいい
とか
いろんなことを言っているけども
じゃあ今
42:01
僕たち私たちは何をすればいいんでしょう
というときに
何から
やって終わらない
たぶん鈴木さんは
強固なパスワードを作る
というところを両方
優先して
紙に書いて文字の歴史を見ても
そこから終わるんじゃないの
とりあえず
その3つは
時と場合によって優先順位は
変わるはずなので
これが一番
これが一番下
そういう立ち位置
言っているところは
似たところを
言っているんじゃないかなという気はしている
それを
それが優先順位は
上からあったとしても
それは違う人もいれば
そういう人もいる
それを強制はしない
違うというか相互に関係しているものを
野菜と肉と
タンパク質と
どれにしますか
そういう感じがする
逆に
パスワードの定期変更が
最優先になるような
事例とかがあれば
さっきのやつでいうと
費用対効果で
考えた時に一番優先になる
最初
事業者が
信頼できる
定期的に評判している
定期的に評判している
そこはね
ある程度ユーザーが
信頼できるところを
選ぶべき
ですよね
GoogleとかFacebookとかTwitterが
比較のフォローしているとは今
考えられないですね
怪しそうなところは
漏れてもいい
漏れてもいい
それぞれについて足りない人が
それを補っていけばいい
自分のパスワードが弱いと思う人は
それを変えればいいし
強いけど使い回している人は
使い回しをやめればいいし
強くて使い回しもしないけど
変更しない人は変更する
その順番は別に入れ替わる
全部が違うパスワードを
付けるというのは
変更させるのは無理
そういう人は
使い回しているパスワードを
定期的に変更する意味は
あるかもしれない
そこは定期的に変更する
強いパスワードを
弱いパスワードを強いものに
変えていくことが
意味があると
私は聞こえる
それは恥ずかしい
強いパスワードにしていればいい
45:01
多分それが
現実はそうなっていない
というところじゃないですか
一般の人たちの
ずっと昔これくらい前に
作ったIDパスワードが
パスワードが弱いんだったら
それを変えていくという
仕上げには意味がある
全部そこそこにやっといた方が
いいことであって
それをどれかが優先度が高いか
どれかを落とすとかというものじゃなくて
それぞれやっぱり
それなりにやっといたらいいんじゃないの
西島さんは落とすという
考え方で
西島さんは同じことを
同じ方向で見ている
ただ今なんとなく
業界的な雰囲気は
それは言わないようにしよう
的なセンサスを作ろうとしている
もし定期変更についてくれるのであれば
定期的な変更を
強制しようという風に言うのは良くないと
そういうのは
オンラインのサービスに
行くか何かという
それをまず言わないほうが
いいということがあるのと
あとは逆に全く意味がない
というのも言っちゃいけない
という風に
思うので
定期変更について話をくれるのであれば
ちゃんと厳密性を持った言い方をしないと
誤解を招く
西島さん「他もそうです。だから
強度というか
強いパスワードって何なのということを
精神的に言わないで
強いパスワードをつけましょうと言っていて
良かったねという人もいるし
結果数少なくたって
ランダムで良い精神的なパスワードだったら
良いよねという人もいるし
使い回さないにしても
全然違うのを
全部につける話なのか
一部だけを変更して
もう少し覚えやすくするのか
この辺の話をしないまま
西島さん「強固だとか
フルだとか」
そこだけがフィーチャーされるのは単に
それにストレスを感じている人が多いから
なんとなく
同意を得やすい
パスワードは女性に変更しないよね
みんなみたいなところがあるわけですよ
だからしなくていいことにしちゃいましょう
という流れだと思うんですよ
だけど本当にしないことにしちゃっていいのかな
というのは僕はそこまでの自信がない
だから果たしてみんな
そんな強く言っちゃっていいのかな
というのが
その3つの優先度があるから
むしろ言わないほうがいいんだ
それを他を妨害するのかやめたほうがいいんだ
どうやっていいのかなというのは
分からないな
終わらないですよ
西島さん「これはもう
向いている方向が
全然一致していると
私は思っていたりするんですけど
表現の問題だったり
さっきの住民の問題だったり
というのが
若干ちょっと違って見えるから
起きている
話なのかなと思っていて
そういう意味ではツイッターであれ
パスワードの話を聞く時に
有効期限じゃなくて定期変更だけじゃなくて
ちゃんと他のものも
48:00
考えられないよ
という同時点でちゃんと説明しなきゃいけない
それを利用者のほうも
認識しなきゃいけないというのは
ポイントなのかなという風に
思ったと聞きました
西島さん「この3つの話
1個ずつ今度やりますね
強固なパスワード
複雑なパスワードというのは何ですか?」
西島さん「フォトキャストを聞いている方
どういう風なやつが
強固と言えるのか
」
西島さん「使い回しは何でダメなのか
という話を
もう一回やって
それを踏まえてから
言えるようになりますか?」
でもそう
強いパスワードに関しては
すごく私も興味があるし
すごく広まってほしい
西島さん「ランダムで作ればいい?」
西島さん「そのランダムが分かんないんですよ!」
西島さん「ランダムで作れない人とかね
そういうのあると思うんで」
西島さん「そのやり方だったりツールがあるよみたいな
そこから入ってくれれば
面白いことになるような気がします
なんかきれいになりそうだな
西島さん「今回は定期変更
結局どういう風なオチになるのか
と思って聞いてくれた方
いらっしゃると思うんですけど
ちょっと時間微妙な感じになっている
いいですかいいですか
喋れないでいいですか
そういう感じになっているんですけど
思った人の意見をもう一回聞いて
僕たちはもう一回勉強しながら
それぞれの3つの話があったじゃないですか
それをもう一回
お二方お時間ということになると思うんですけど
もう一回やって
また続けてやっていく
ということで
どうですか?」
西島さん「いいですね!
ここは普段やってるからいいですけど
その時には是非
来ていただけると嬉しいです
今回初めての
医療ホットケース
体型も
何も動かず
最後くらいは
かぶり合わせんですけど
オチは大体予想通りでした
ということで
みんなパスワード大好きかい
ありがとうございました
西島さん「パスワード大好きかい
」
西島さん「なくなった方がいいですよね
また次回
お会いしましょう
