2018-09-11

■

日経ビジネススクープ
パスワード 16億件流出について

　組織等で利用している「メールアドレス」と「パスワード」が漏れたような記述だが、実際には「メールアドレス」を外部サイトで利用している場合には、メールアドレスは公開される。
　ただ、メールアドレスは、インターネット上で、個人の「氏名」のようなものだと考える必要があるのではないか？　私は、30年以上メールアドレスの「＠」の前を変えたことがない。　また、現在使っているメールアドレスは、2000年頃に作ったので、もう19年以上同じ「メールアドレス」を使っている。

　しかしながら、パスワード（以下「ＰＷ」）は、外部サイトを利用する場合、同じＰＷを使うことはない。　複数の外部サイトを利用する場合、同一のＰＷを使う（『ＰＷの使い回し』）ことはやらない。
　日経ビジネスの記事、「16億件まで拡大した理由図」（25ページ下）では、
　　組織の従業員などが外部サイトにメールアドレスとパスワードを設定するが、外部サイトの脆弱性を突かれて、メールアドレスとＰＷを盗取され、16億件まで拡大したというもの。
　ＰＷを組織内と外部サイトで同じものを使わなければ、全く問題はない。
　また、最近は、ＩＤカードとＰＷの組合せ（二要素認証）、生体認証の利用など、組織内の認証システムは変化があり、メールアドレスとＰＷだけで、認証を行うことが少なくなっている。

　もし、16億件の漏えいをスクープとして対応するのであれば、ＰＷの使い回しが非常に危険であり、二要素認証や生体認証のようなものを使うことを言うべきではないだろうか？
　いたずらに、サイバーセキュリティ知識のない日経ビジネス読者（管理職、経営層など）の混乱をサイバーセキュリティ担当にまで広げることはかえって、サイバーセキュリティに対しても、不信感を抱かせるのではないだろうか？

◍ スクープ　パスワード16億件の流出を確認
　https://business.nikkeibp.co.jp/atcl/report/15/110879/090500857/?cv=ts_nbo
◍ スクープ解説　流出が空前規模に拡大した理由
　https://business.nikkeibp.co.jp/atcl/report/15/110879/090500858/?ST=print

2018-08-29

セキュリティの新しい風

セキュリティの新しい風（2018年8月29日）
　～「情報＝風」論～

1999年11月号から Cyber Security Management という雑誌（１冊 5,000円、定期購読年 50,000円）に連載を行ったが、その時のタイトルを【セキュリティの新しい風（Birds of a feather）】とした。
　タイトルをこのブログで復活させて、非技術的なサイバーセキュリティのあれこれブログです。

「情報＝風」論
　「風」という童謡をご存じでしょうか？　セミナーなどで聞く（実際に最初の方を聴いてもらう）が、若い人達では知らない人が多かった。
　聴いたことがなければ、Youtubeにもあるので、「風西条八十」で検索可能です。

この「風」の歌詞は、
　　「誰が風を見たでしょう？　ぼくもあなたも見やしない」
と始まる。
この童謡は、英国のクリスティナ・ジョージナ・ロゼッティの詩に、大正10年、西条八十が訳詞し、草川信が作曲をした。　この詩では、風は感じるが見えないと詠っている。

では、情報やデータを見たことがあるだろうか？
「紙に印刷されている」とか、「コンピュータの画面に表示されている」と言われるが、紙という媒体に印刷されている、あるいは、コンピュータのディスプレイに表示されているのであって、媒体があって始めて情報やデータであると考えられ、情報やデータそのものではない。
即ち、情報そのものを指摘しているのではなく、情報が保存されている（と思われる）物理的なものを示している。
風と同じように、「見えないもの」を捕らえることもできなければ、保護・保全もできないのではないだろうか？
情報を保護・保全するためには、それが保存されている物理的に見える印刷物やコンピュータ、ハードデスク、ネットワーク等の物理的なものを保護・保全する必要があり、「情報セキュリティ」とか「サイバーセキュリティ」と言っているが、実際には人間を含め、物理的なものを保護・保全することになるのではないだろうか？