パスワード問題

2011年頃よりパスワード盗用による大型の不正アクセス事件が頻発するようになりパスワード問題への関心が高まっている^[要出典]。このパスワード問題の背景並びに非技術的緩和策と技術的解決策を紹介する。

パスワードが脆弱であると以下に示すようにサイバー空間の安全を確保するためのあらゆる方策が無意味化されてしまう。

暗号化: 世界最強のスーパーコンピュータでも直ぐには解けない強力な暗号モジュールで鍵の配送には量子暗号を使うと聞けば頑丈そうに思えるが、パスワードが脆弱なら攻撃者は難なく復号したデータを持ち去ることができてしまう。
バックドア防止: 標的型攻撃によるバックドア設置を防止できればバックドアからの情報流出は防げる。しかしパスワードが脆弱なら攻撃者は表扉から入って表扉から持ち去ってしまう。
シンクライアント: 端末内部には情報が存在しないのだから端末内部の情報が漏洩することはない。しかし、パスワードが脆弱なら攻撃者はサーバ上でアクセス可能な情報をすべて持ち去ることができてしまう。
リモートロック: この機能が普及すれば攻撃者はそれを承知の上で端末を盗むことになるだろう。しかしパスワードが脆弱ならリモートロックを掛けた時には既に手遅れかもしれない。
事業継続計画 (BCP): 通信の多重化、データ処理保管機能の分散化、自宅などからの遠隔業務（テレワーク）などが災害時等の事業継続に有効とされている。ただし、パスワードが脆弱なら攻撃者もBCPに参加するということになりかねない。

堅牢なパスワードは市民のプライバシー防衛においても国家中枢機能の防衛においても基礎的な必須要件の一つであると言えるだろう。

パスワードの現実

ドイツのセキュリティ企業であるNord Securityは、日本を含む50カ国のデータをもとに最も一般的なパスワードランキングを発表した^[1]。

順位	世界	日本
1位	123456	password
2位	123456789	123456
3位	12345	123456789
4位	qwerty	12345678
5位	password	1qaz2wsx
6位	12345678	member
7位	111111	asdfghjk
8位	123123	12345
9位	1234567890	password1
10位	1234567	1234567890

言うまでもなくこういう脆弱なパスワードは使うのは止めるべきである。しかしながら、止められるのにやっているという人は少数で、止められないからやっているという人が多数のように思われる。強固なパスワードを覚えなければならない時には同時に「メモは駄目」、「使い回しは駄目」、「アカウントとの対応関係も含めて覚える必要がある」と言われ、何とか覚えたうちの幾つかは数ヶ月後には捨てさせられるのだから。^{[独自研究?]}

パスワードの悩み

現行のパスワードシステムはコンピュータにとっては何の問題もない。8桁が100桁になろうが1000桁になろうが瞬時に照合できるし、際限なく記憶装置に溜め込むことができる。しかし、生身の人間はそうはいかない。パスワードの悩みは次のようにまとめることができよう。

注意を促されなければ多くのひとは上述のような脆弱なパスワードを登録する
強固なパスワード登録を要求されると多くの人はメモに書いて持ち歩く
メモ持ち歩きを禁止されると公私混同で他のアカウントに使い回す
使い回し（C）を禁止されると脆弱パスワード利用（A）かメモ持ち歩き（B）に戻ることになる

現実を無視したパスワード厳格管理の実施は実質的に管理者の「言いっ放し」と被管理者の「聞きっ放し」に終わることになりかねないが、ここで怖いのは誰にでもは実行できないと承知している事柄を闇雲に被管理者に実行するように強いるようなことはこうした規範を制定し呼びかける管理者側の権威の毀損に通じることである。虚構を受け入れることから情報セキュリティの実践を始めた利用者に熱意をもって真剣に情報セキュリティ遵守を図ることを期待することはできないことは明らかと思われる。^{[独自研究?]}

パスワードのコスト

厳格なパスワード運用を徹底して何としてでも難解なパスワードを覚えさせると休暇開けなどにはパスワード再発行依頼が頻発し少なからぬコストが発生する。他方、脆弱なパスワード利用、メモ依存、使い回しを放置しておくとこうした費用の発生は表面的には発生しないが大きな潜在リスクを抱えることになる。パスワードのコストを可視化することは容易ではないが、一応の目安としては米国では厳格管理を徹底する企業で直接コストとして一人年間$100前後、間接コストを含めて$200程度といわれているようである^{[誰によって?]}。（客観性のあるデータ募集）

解決の方向性

非技術的緩和策

ケンブリッジ大学の研究チームが以下のような非技術的緩和策を提案している。^[要出典]

パスワード税: パスワードを要求する必然性の乏しいサービスにまでパスワード登録が要求されているので利用者のパスワード記憶能力が浪費され、避けるべき使い回しの蔓延につながっている。パスワードを収集するサイトに課税すれば必然性なくパスワードを収集しているサービスサイトなどは、パスワード収集を断念するか新たなパスワード登録を必要としないID連携方式への参加を考えるようになり、パスワード問題の緩和に寄与するのではないか。
セグメント化: 高いセキュリティを要求しないサービスでは5桁以下のパスワードしか登録できないようにし、低いセキュリティでは不安なサービスでは6桁以上のパスワードしか登録できないようにセグメント化すると、利用者の記憶容量の食い荒らしを緩和できるのではないか。
損害賠償制度: セキュリティの貧弱なサイトからパスワードが流出し、そのパスワードで高セキュリティのサイトが被害を被った場合には、高セキュリティのサイトは低セキュリティのサイトに損害賠償が要求できるとすれば、パスワード問題の緩和につながるのではないか。
認証制度: 一般利用者は、真面目にセキュリティに取り組んでいるサービス事業者と真面目にセキュリティに取り組もうとしない事業者の判別ができない。パスワードを巡る状況は中古車市場などのレモン市場と酷似しているとの認識が可能である。権威ある第三者機関によるサービス事業者のパスワード運用状況を評価し認証することは、パスワード問題の緩和に役立つのではないか。

技術的解決策

パスワードの廃棄: 運用管理が大変だからパスワードを使うことを止めようと考えることは可能である。所持物照合による本人認証と生体照合による本人認証（生体認証）が選択肢として残る。; 所持物だけの例としては、サイン（署名）や暗証番号（数列パスワード）不要で買い物のできるクレジットカードがある。ただし、こうしたクレジットカードでも一定金額以上はサインか暗証番号を要求しているところをみると、所持物の照合だけで本人認証ができる分野は限定的と考えるのが妥当と思われる。; 救済パスワード不要で運用されるべき生体照合では、本人拒否が発生してはならない。どのような生体照合技術であれ、そのような閾値で運用されると高い他人排除率を期待することは難しいと考えられる。単独で本人認証ができる分野は限定的と思われる。
シングルサインオン・パスワードマネージャー: 利用者の記憶の負担は大きく軽減される。ただし、マスターパスワードが盗まれる・破られるといった事態になると、大きな被害を覚悟しなければならないことも考慮しておかねばならない。
多要素認証: A ＋ B ＞ A なので、「パスワード（記憶）＋トークン（所持物）」の2要素認証（多要素認証）はパスワード単独よりも高いセキュリティを謳うことができる。ただし、屋外環境では屋内環境におけるほどの効果は期待すべきではない。トークンとそのトークンが守るべきモバイル端末とは必ず共に利用者の衣服かカバンの中にある（なければ端末を利用できないのだから）。端末を盗むことのできる攻撃者がトークンは盗まずに済ましてくれるとは期待できないだろう。
パスワードの工夫: 強固でありながら覚えやすいパスワードの作り方指南といったものをあちらこちらで見かける。公表されているものは攻撃者にも共有されて、パスワード攻撃ツール等に組み込まれていると見ておくべきであろう。
パスワードの拡張: 文字パスワードを少ししか覚えられないのは強い「記憶の干渉」(パスワードと記憶の干渉)によるものであるから、記憶照合の対象を文字や数字に限定せず記憶の干渉の少ない画像を利用する認証画像認証に拡張しようというものである。

日本セキュリティ・マネジメント学会では、2011年秋に創立25周年事業として発表した「社会への提言」の第1号「誰でも安心して使えるパスワードの実現に向けて」において「文字によるパスワードが脆弱であることを踏まえ、本人にとって再認しやすい画像などを活用した電子的本人認証手法を広く利用することを提言する」と述べている^[要出典]。日本情報経済社会推進協会（JIPDEC、旧日本情報処理開発協会）では画像活用型本人認証研究会を設け、画像再認方式 (画像認証)による本人認証の普及を図ってガイドラインを策定している^[要出典]。