記事

バレないパスワードは、なぜ「3時のおやつは、カステラが一番」か?

■パスワード「123456」「qwerty」は危ない

突然だが、質問である。

あなたは「123456」だろうか?
ちょっとひねって「passw0rd」だろうか?(英小文字のoではなく、数字の0)
それとも「qwerty」?(PCキーボード上段の左から順に6つのアルファベット)
え、まさか「子どもの名前と生年月日の組み合わせ」?

何の話かといえば、パスワードである。これらは世の中の人が安易に使いがちな危険極まりないパスワードの典型である(表参照)。

言うまでもないが、IDとパスワードはITシステムやサービスなどを利用するユーザーが本人であることを証明するための大切な情報である。例えば、ネットバンキングや社内ネットワークなどを利用する際の認証情報などが、もし誰かに知られれば、何らかの被害に遭ってしまうかもしれない(先日24日、26歳の男性が2013~16年の間に女優の高畑充希さんやAKBの島田晴香さんらを含む15人の個人的な画像や文書を、不正に入手したIDやパスワードを打ち込んで覗き見した疑いで逮捕された )。

私たちが情報を盗まれにくくするために、とりわけ重要となるのがパスワードの設定であるーーと、多くの人は知っている。

しかし、推奨される「長い文字列のパスワード」や、併用する「複数のパスワード」はとても記憶できない……というわけで、冒頭のように多くの人が単純で簡単なパスワードを使ってしまっているようだ。

“簡単パスワード”が原因で情報が外部に漏れれば、個人的な被害にとどまらず、所属する企業や団体に大きな損害を与えてしまう可能性さえある。にもかかわらず、多くの人が簡単なパスワードを使い続けてしまうのは、結局のところ<セキュリティって面倒くさいし、よくわからない。自分は大丈夫だよ>という気持ちがあるからだろう。

■専門家が推奨「パスワードは、ローマ字で作れ」

そんな情報セキュリティに不安をもつ人に向けた格好のテキストがある。IT企業のエムオーテックスが今年2月に無料公開した『セキュリティ 7つの習慣・20の事例』(エムオーテックス)だ。

これは、社会人として身につけておくべきセキュリティの習慣を7つにまとめるとともに、日常生活や会社の中で陥りがちなセキュリティの落とし穴をシーン別に20の事例としてまとめている。

エムオーテックスはセキュリティツールの販売を手がけており、セキュリティ教育への関心を高めるため、今回のテキストを作成した。100ページの書籍版は「1200円+税・送料別」で有料だが、PDF版は無料。また同書を使った研修に活用できる「講義用資料」と、復習に役立つ「テスト」も無料で公開している(*)。

テキスト作成に伴い、同社が全国で働くビジネスパーソン(47都道府県の約1410名と情報システム部社員100名)を対象にアンケートを行ったところ(**)、その7割前後が「自身のセキュリティ知識に自信がない」「過去1年内にセキュリティ被害にあったり、ヒヤリハット(被害にあいそうになったこと)した」と答え、情報システム担当者の約8割は「社内でのセキュリティ教育に改善の必要がある」と回答している。やはり、みんな困っていたのである。

さしずめパスワード問題は、その「改善の必要あり」の筆頭格なのではないか。

同書の監修者のひとりであるHASHコンサルティングの徳丸浩代表はパスワード設定の基本をこう語る。

「パスワードは推測されにくい複雑な文字列に設定することが望ましいです。例えば、大文字と小文字、数字、記号を混ぜ、可能ならば12文字以上する。『12345678』など連続した文字や、繰り返し文字、自分の名前、誕生日といった文字列はバレやすいので避けるべきです」

やはり長い文字列=推測されにくい、らしい。となると、問題はそれを記憶できるかどうかなのだ。うーん、自信がない。こちらが困り顔をしていると、徳丸氏はこう語るのだった。

「忘れるのが心配なら、手帳などに書いてもいいですよ。その手帳を机に置きっぱなしにせず、きちんとバッグなどにしまっておけばね。また、決めたパスワードの文字列の最初と最後に、数字や記号などを1文字ずつ何か加えるとよりいいですね」

さらに、パスワード作成案として教えてくれたのが、「ローマ字記述」だ。

「例えば、いつか行ってみたい外国の国名や都市名をローマ字で記述したものをパスワードにするのです。サンフランシスコなら、sanfuransisuko。英語表記とは異なるのがポイントです。これに、記号や数字を随時混ぜるとよりいい。この国名や都市名は人に話したことがないものにしたほうがいいですね。好きなキャラクター名をローマ字記述にするのもありです。ただ、注意点がひとつ。英語表記とローマ字表記が似通っている場合(ロンドン=LONDON、rondon)などは避けたほうがいいでしょう」(徳丸氏)

■パスワードは「3時のおやつは、カステラが一番」

ちなみに同書では、このローマ字記述によって、「オリジナルの文章」をもとにパスワード作成する方法を紹介している。手順はこうだ(図版参照)。

(1)最初に適当なフレーズを決める→(2)そのフレーズをローマ字化する→(3)各言葉の冒頭の文字のみ拾う

例えば……。

(1)フレーズ「3時のおやつは、カステラが一番」→(2)「3 ji no oyatsu wa,kasutera ga 1ban」→(3)「3jnow,kg1b」(パスワード完成)

さらに、推測されにくくするために、記号を変更(追加)して、「3jnow#kg1b」(,を#に変換)し、先頭と末尾に配置する文字を決めておいて、「p3jnow#g1bt」(例えば、presidentの先頭「p」、末尾「t」を配置することにした場合)とすると完璧というわけだ。

前出のエムオーテックスの調査で、セキュリティ事故を引き起こしてしまう恐れがあると思われる「役職」を聞くと、1位「新入社員/26.0%」、2位「外勤(営業系)/25.0%」、に続いて、3位「経営層(社長・役員など)/24.0%」が入った。

なぜ、経営層が3位なのか。徳丸氏は調査結果をこう読む。

「新入社員は社会人経験が浅いことからまだ意識や知識があまりないこと、外勤はスマホや書類などを外出先で紛失する恐れがあること、経営層は秘密情報に触れる機会が多い上に他人から注意される機会が少なく自己流の対応を行っている場合が多いからではないでしょうか」

どの職種・世代も我流のパスワードはそろそろ卒業したほうがいいようだ。

(*)『セキュリティ 7つの習慣・20の事例』(エムオーテックス)
http://www.motex.co.jp/vision/enlightenment_activity/education_book/
(**)「セキュリティ教育の実態調査」
https://prtimes.jp/main/html/rd/p/000000062.000010736.html

(プレジデントオンライン編集部 大塚常好=文)

あわせて読みたい

「サイバーセキュリティ」の記事一覧へ

トピックス

ランキング

  1. 1

    叩かれたけど本当はスゴい4議員

    駒崎弘樹

  2. 2

    苦境に立つ元民進の大物議員たち

    BLOGOS編集部

  3. 3

    ハゲに不倫…お騒がせ議員当落は

    田野幸伸

  4. 4

    橋下氏「前原代表批判は筋違い」

    PRESIDENT Online

  5. 5

    よしのり氏「変節」報道に反論

    小林よしのり

  6. 6

    ウーマン村本がLGBT当事者と激論

    AbemaTIMES

  7. 7

    辻元清美氏に山本一郎氏から激励

    辻元清美

  8. 8

    よしのり氏 希望の党は壊滅する

    小林よしのり

  9. 9

    衆院選自民大勝で森友うやむやに

    阪口徳雄

  10. 10

    スバルの強さは選択と集中がカギ

    片山 修

ランキング一覧

ログイン

ログインするアカウントをお選びください。
以下のいずれかのアカウントでBLOGOSにログインすることができます。

コメントを書き込むには FacebookID、TwitterID のいずれかで認証を行う必要があります。

※livedoorIDでログインした場合、ご利用できるのはフォロー機能、マイページ機能、支持するボタンのみとなります。