HASHコンサルティング代表取締役の徳丸 浩氏。近著『安全なWebアプリケーションの作り方』でもおなじみの同氏は、Webアプリケーションの脆弱性をテーマに、継続的にセキュリティ技術に関する情報発信を続けています。今回のインタビュー前編では、現在のお仕事や、セキュリティの「常識」を疑うことの重要性についてお話をお伺いします。

★パスワードを定期的に変更するのは常識とされていますね。
パスワードの運用は「定期的に変更すべし」というのが主流です。しかし、「なぜパスワードを定期的に変更しないといけないか」を説明できる人は少ないと思うのです。一般的に挙げられる論拠は以下の2点です。
1. パスワード自体が解読される可能性を減らすため
2. パスワードが解読され侵入を許したときの被害を最小限に抑えるため
1.については、パスワードが解読される可能性を減らすなら、定期的に変更させるよりも、パスワードの桁数と文字種を増やして複雑な文字列を設定する方が有効という意見があります。あるいは、一定数ログインに失敗するとログインさせないようにするアカウントロックも有効な対策となる場合があります。一方、2.については事後対策ですから、これもパスワードの定期変更よりむしろ、情報を外部に送信させない「出口対策」が有効な場合があります。
★つまり、常識を疑うことが大事なのですね。
セキュリティの原理は変わらないけど、前提は変わるわけですから「常識」は変わる余地があるということですね。

徳丸 浩氏に聞く「セキュリティ意識の高め方」(前編)(3/3) | ITスペシャリストに聞く | 日立ソリューションズの情報セキュリティブログ