日々の作業に使っているEDCやCDMSも例外ではありませんが、ユーザーアカウントのパスワードは定期的に変更するようにと言われることが多いです。弊社で扱っているシステムも、どれも何らかの形でパスワードの有効期限の設定が可能になっております。OFFにすることも可能ですが、デフォルトでは60日ですとか90日ですとか、定期的に変更を強制する設定になっています。トレーニング時に、推奨される設定について聞かれることがありますが、正直答えに困ります。私自身、導入先の緊急時に応えられるように、いくつものランダム生成されたパスワードを暗記しております。一応、万が一のことを考え、書き留めておくことにはしていますが、書き留めている封は金庫の中にあり、金庫のパスコードも私は知らないです。この様な状況で、果たしてパスワードを60日おきに変更する意味はあるのかと言えば、答えははっきりと「NO」です。変更して、それを金庫の記録にも反映して、金庫の記録が実際と間違っていないかを確認して…そしてまたランダム生成文字列を覚える等のことを行うのは、むしろリスク増につながると考えているからです。
定期変更を強制するとどうなるか…
パスワードの定期的変更の是非はもう少し議論されるべきだと言う声は、私が記憶している限りでも10数年前からありました。人間、程度に個人差こそあれど、皆覚えられるものには限界があります。例えば職場のWindows アカウント、メールアカウント、個々の企業治験のEDCアカウント、クレジットカード情報が登録されているPlaystation NetworkやAmazon Web Servicesのアカウント、そして数多いSNSのアカウント…月に一度以上アクセスをするものだけでも、使用しているアカウント・パスワードの組み合わせは最低でも20を超えるのではないでしょうか。そのような状態で、パスワードの定期変更を強制されると、末尾の一文字だけ変える等のことをしがちです。実際に研究をした方がいるので、リンクを紹介します:
研究では、10,374件の無効アカウント(過去の在学生や職員)の合計51,141パスワードを対象に、パスワードの予測のしやすさ等を分析をしています(リンク先記事では2010年の投稿論文を引用しています;以下の数字は投稿論文より)。なお、この51,141件のパスワードは、最新のものではなく、全て過去のパスワードです。すなわち、本研究ではまず第一段階でユーザーの過去パスワードをハッキングし、第二段階でハッキングにて入手した過去パスワードから該当ユーザーの最新パスワード(≒過去ユーザーの退学・退職時のパスワード)を予測出来るかを調べたものです。第一段階では様々な手法を用いてハッキングを行ったわけですが、通常こういった大がかりの解析は多数の強力なパソコンをつなげて、処理を分散します。機密保持の都合上、今回はたった2台のマシンで行う必要があったためもあり、論文執筆段階ではハッキングが終了していなかった模様です。
第二段階において、執筆段階で入手できた7,936件の過去パスワードを使って、様々な手法で最新のパスワードの予測が試みられます。投稿論文は数式が多くてなかなか読み応えがありまして、正直全て理解し切れておりません(涙)。各ユーザーの過去のパスワードの変遷のパターンから、最新のものを予測するわけですが、これが例えばパスワードの更新時に末尾の数字を変更する傾向があるのか、大文字を小文字に変更する傾向があるのか等々そういったことを分析していきます。過去パスワードを入手できてしまうと、41%のアカウントでパスワードが容易に予測出来てしまうとの結果が出ました。研究当初の、一般的な分析用コンピューター2台という限定的な環境でこの結果ですので、実際にはもっと多くのパスワードが割り出せる可能性が高い、と著者は指摘しています。
そして「止めましょう」へ…
こちらのサイトで紹介されていたのですが、先日、米国国立標準技術研究所のComputer Security Divisionが、パスワードの(見境無い)定期変更に対して明確に「すべきでない」と述べています:
Verifiers SHOULD NOT impose other composition rules (mixtures of different character types, for example) on memorized secrets. Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically) unless there is evidence of compromise of the authenticator or a subscriber requests a change.
上で引用した段落に、「other composition rules」についても設けるべきでないと書いています。大文字、小文字、記号の強制等ですね。理由は言わずもがな、ハードルを上げすぎると潜るやつが出てくる、これに尽きます。ただ、上の文は、日常的に使われるような単語をパスワードに用いないためのチェックを入れることを前提としています。おそらくですが、大文字・小文字・記号強制は、辞書に載っている様な単語をパスワードに用いるケースが後を絶たないための苦肉の策だったのだと想像します。なお、パスワードの構成について今回のガイドラインで推奨されているのは下記の通りです:
- 辞書に載っている文字列使用禁止
- 固有名詞使用禁止
- Unicode文字も認めるべき(日本で言うところの全角文字)
- 8文字以上
ここで、定期変更の強制を止めようと思ったときに、ハードルが二つ。まず一つに21 CFR part 11のSubpart Cにおける、password agingについての文言:
(b) Ensuring that identification code and password issuances are periodically checked, recalled, or revised (e.g., to cover such events as password aging).
そして、総務省…ホームページ上の記述:
パスワードの定期的な変更
安全なパスワードを作成し、パスワードの保管方法も徹底したとしても、同一のパスワードを長期間使い続けたり、使い回したりするのも避けるようにした方が良いでしょう。
パスワードを定期的に変更しなければならない理由には、以下のようなものがあります。
- 他人に推測されにくいパスワードでも、ツールを使って長時間かければパスワードが割り出されてしまうこと
- 仮にパスワードが割り出されてしまっても、なりすましなどの被害を受け続けることを避けることができること
ですので、悲しいですが、逆効果だと感じていても、このままパスワードの定期変更の流れはしばらく続くでしょうね…
コメント
一概に意味がないとは言い切れないと思います。
例えばパスワードを成りすまし屋に見られた等の場合、成りすまし犯の命が有限か無限かというところで意味はあると思います。
ただ、ハードルを上げれば上げるほど、弊害(パスワードを書いたメモを画面横に貼るなど)が多いのも事実です。
この世界では、何かの拍子に(本人的には必要に迫られて)他人にパスワードを教えることは少なくありません。特に医者などは、自分の業務をちょっとでも手伝って貰えるのなら、IDやパスワードを教えることなど何のためらいもありません。なので、いつ誰に何のパスワードを教えたなんてこと自体、すっかり忘れているでしょう。そういう人種を相手にするEDCなどは、やはり(大文字、小文字等のハードルは別としても)日数制限にはかなり意味があると思っています。
ねこたんさん、コメントありがとうございます。ガイダンスは、ルールが守られていることが大前提になりますので(ならざるを得ないので)、ルールの徹底が難しい環境ですと必ずしもベストではないですよね。
コメントにございます様な事例はたびたび風の便りに聞きますが、なんとも恐ろしいです…試験のERES準拠もpart 11準拠もセットで台無しになってしまう行為ですからね。強く言えば、なりすましの教唆です…
実は、某アカデミアでセントラルDMをやっている傍らで、週末に某病院でローカルDM(電子カルテからデータを拾ってEDC入力をする)もやっています。
そこで思うのは、医者が入力して、部長や教授が内容を点検して承認する、という(表向きの)プロセス自体に無理があるのです。医者に、入力方法を覚えたり実際に入力したりする暇なんてないですし、逆に言えばそんなレベルの仕事は医療秘書でもできます、というか、医療秘書の方がある意味得意です。目の前の患者さんの手抜きをしたり待たせたり、あるいは医者自体が倒れてしまっては意味がありません。ましてや部長クラスの医師が何百例ものデータを点検するなんて無理ですし、だいたい自分の患者さん以外のことなんて大して知りません。そうすると、そういうのは全部医療秘書やCRCに任せてしまう。その方が効率的にも質的にもいい。でも、それを大義名分が許さない。
ご存知の通り、日本という国は、本音と建前の二本立てでできています。逆に言うと、有名無実の建前を崩せない国なのです。建前と違う本音があることを誰もが知っているのに、それを一本化する努力はせず、本音と建前を使い分けることに命を注ぐ国なのです。
そういう国民性を理解した上で、そのリスクを最小にすることを考えていかざるを得ません。まぁ、治験ではCRCが付きますし、GCPもありますから、ここまでひどくはないですけどね。