第301号コラム:宮坂 肇 理事
(NTTデータ先端技術株式会社 セキュリティ事業部 セキュリティソリューションBU)
題:「一般家庭のIDとパスワード」
去る平成26年1月下旬に警察庁から平成25年中のインターネットバンキングにおける不正送金被害の発生状況についての報告があり、平成25年中は実に1315件約14億円の被害にのぼるとの公表があった。公表の中でも、パスワードに関して、関連事業者との連携し施策を実施するとある。また、インターネットを利用するサービスにて、リスト型アカウントハッキング(2013年12月:総務省公表)によるインターネットサービス事業者向けの対策集なども出されている。関連省庁、サービス関連企業やセキュリティ事業社で一般利用者に対して ID/パスワードの取り扱いなどの注意喚起を継続的に実施している。
その一方で、減らずに増え続けるID/パスワードにまつわる不正アクセス事件・事故では、学識者やセキュリティ技術者などをはじめとして、近年、様々な場で多くの議論がされ広く公開されている。対策として、サービス事業者ではパスワードの長さや複雑化、有効期限の設定、二要素認証などの実装を進めている。これらの状況や対策方法については、インターネットでも公開されているので、適宜参照されたい。
これだけの注意喚起がされている中で、一向に減らない事故の背景には一般家庭において、ID/パスワードの重要性に関する認識がまだまだ薄く、被害に遭われる方々が多いのも実態であり、本稿では、あらためてある側面で背景を探ってみたい。以下、ID/パスワードの認証方式を“パスワード認証”、インターネットを利用したサービスを“インターネットサービス”と呼ぶこととする。
一般的な家庭ではどのようなインターネットサービスが使われているであろうか。今日では、サービス事業者により様々なインターネットサービスが提供されている。思いついたサービスを下記に列挙する。
・オンラインショッピング
・インターネットバンキング
・図書館や施設予約など公的なサービス
・クレジットカード明細
・インターネットメール
・公衆無線LANの接続
・インターネット接続
・航空会社や鉄道会社の予約サービス
・宅配ピザ
・宅配便検索、などなど
上記のサービスを利用するためには、ID/パスワードが付与され、パスワード認証により個人を識別しサービスを受けることとなる。利用するインターネットサービスの種類が増えると、それとともに個人が保有するID/パスワードも増えることになる。
例えば、筆者は関東地区の片田舎に住んでいることもあり、日常生活でも買い物や病院などは、バスか自動車で移動しなければならない。パソコンの周辺機器なども近所の大型家電販売店なども利用するが、秋葉原などと比較すると必要なものが必要な時に揃わないことが多い。このような状況だと、インターネットショッピングを利用することが多くなってきている。仕事がらインターネットの依存度が高いため、おそらく一般的な家庭よりもサービスの利用頻度は高いのではないかと思われる。主に、利用しているサービスは、先のショッピングをはじめ、航空会社サービス、チケット予約、クレジットカード会社利用履歴照会、などなどである。サービスを利用するには ID/パスワードが必要となり、各々のサービスで設定をしなければならない。数年ほど前になるが、保有するID/パスワードが多くなり、自身の保有するID/パスワードを簡単に分類して見たことがあり、簡単に紹介する。ID として何が設定されているかを大まかに3分類してみるとおおよそ以下のような比率であった。(筆者の利用していたサービスでの分類なので、インターネットサービス全体での比率とは異なる可能性がある)
メールアドレスをID : 15%
サービス提供側が指定する固定ID : 60%
ユーザが任意に設定 : 25%
ID をメールアドレスや固定IDとしているものは、利用者が容易には変更できないことから、利用者がID を容易に変更できないものが実に80%近くとなる。一方、パスワードの設定を利用者個人が可能なサービスは、90%近くになる。パスワード認証で問題の一つは、IDやパスワードの使い回しが問題となるが、IDを変更できなければ、パスワードをより強固なものとし、サービス毎に異なるパスワードを設定することが対策の一つとなる。利用するサービスが増えていくと、自身が管理しなければならない ID/パスワードも増加することとなる。
では、ごくごく一般的な家庭で、IDとパスワードをどのように扱っているのだろうか。
パスワード認証から離れるがあるシニアの方の話しをしてみたいと思う。IT業界にもインターネットサービスなども使っていない。銀行の預金通帳、届出印やキャッシュカードを保有しているが、銀行で自身の預金を引き出す際のことである。預金の一部を引き出すことが目的であるので、キャッシュカードを銀行の行員に渡し、引き出し金額を伝え、暗証番号はメモを渡すことで、預金を引き出し、目的を達成している。ID/パスワードの管理は自己管理が原理原則で、他人には知られないことが前提であるが、目的を達成するためには面倒な操作をしたくなく、パスワードを安易に他人(ここでは行員であるが)に渡している。キャッシュカードによる現金自動支払機が登場してから30年以上経っているはずであるが、シニア層においても上記のような状況である。このような考えを持っている方々にパスワードの重要性を説いても、かなり時間のかかることだと感じている。しかしながら、インターネット
サービスを利用する形態は様々であると考えられるが、利用する機会はますます増えていくことだろう。
不正アクセスによる事件による被害者を増やさないためには、一般の方々がパスワードの重要性を認識してもらうことは引き続き大切なことではあるが、増え続けるID/パスワードから、利用者が安心してサービスを受けられるような仕組みや技術は今後重要になってくるであろう。
【著作権は宮坂氏に属します】