RukeとLuNaYuの日記
I know the truth.
I know whole.
And I...know you.
平凡な大学生活の日記です。時折まじめな長文を書く病気になります。興味がなければ読み飛ばしてください。
201709 << 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 >> 201711
スポンサーサイト (--/--/--(--) --:--:--)
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
ワンタイムパスワード (2006/10/23(月) 17:47:45)
「ワンタイムパスワードは何のためにあるのか」


改めて考えてみるに、ワンタイムパスワードの効用とは、パスワードの安全レベルの管理が、ユーザではなく、アクセス管理者にコントロールされているところが肝ではなかろうか。

つまり、普通のパスワードだと、パスワードの安全レベルが、ユーザの力量に依存してしまう。パスワードの変更を許せば、安易なパスワードを付けるユーザが出てくるし、変更を許さず複雑なものを与えると、パスワードをメモしてモニタに貼り付けるユーザが出てくる。ここで、ワンタイムパスワード生成器を配布すれば、安易な内容のパスワードになってしまうことは避けられるし、メモさせず、物として管理もさせやすい。


普通にその通りだと思うのだけど、確かにワンタイムパスワードって、「変な事をさせられるなあ」という程度の認識が多いかもしれない。

つまり、
・パスワードは推測されにくい物にしましょう
・パスワードは定期的に変更しましょう
・同じパスワードを使いまわさないようにしましょう
・パスワードは忘れないようにしましょう。そして誰にも漏らさないようにしましょう

なんて「そんなことできるわけあるかー」という問題を解決するのがワンタイムパスワードで、それはセキュリティ強度を高める技術ではなく、理想的なパスワード運用がなされれば実現できるセキュリティ強度を(ほぼ)自動的に実現する物だ。

セキュリティの問題は、企業の社会責任という視点から論じられる機会が乏しく、企業にとっての新しい商売道具として専ら扱われているのが現状だ。だから彼等は超高等技術のイタチゴッコを演出し、トレードオフの存在を唱えて責任を逃れ、消費者にメリットを恩着せがましく宣伝する。しかし情報社会の基盤技術としてのセキュリティとは強い・弱いではなく有る・無いで論じられるべきものだ(とはいえ確かに現状は万全なセキュリティなどあり得ない、というセキュリティに関する相対主義を信じたくなるような状況でもある。二重鍵暗号が画期的なアイデアとして称賛された時代の数学者・技術者達はフィッシング詐欺など思いもよらなかっただろう。しかし見かけ上の商品価値が高まればそれで良い、というような乱雑な姿勢から単に基本的な欠如と運用の不手際によって有るべきセキュリティが無くなっているケースは実に多い。それを追及するうえで消費者が遠慮すべき理由など何もない)。

そしてワンタイムパスワードは基盤技術として是が非でも採用すべきものだ。というのもこれは、利便性の向上がセキュリティの確保に貢献し、逆にセキュリティの自動的な確保が利便性の向上に繋がるという、トレードオフとは対極にある性質を持つ技術だからだ。さらにこの技術は実に分かり易い形でユーザの責任を視覚化、具体化する。ユーザが求められるのは生成器を適切に管理する事だけだ。明らかにこの技術を採用しない理由はない。唯一存在するトレードオフはコストだ。だから銀行がコストを負担してでもこの技術を採用せざるを得ない程度にセキュリティに対する社会的要請が大きくなったと捉えるようになったのは消費者にとって歓迎すべきことだ。

そしてそれにも関わらず銀行は恩着せがましく最先端のセキュリティレベルをとても乱雑に宣伝する。彼等の頭にあるのはセキュリティを実現する事ではなく、セキュリティの問題が生じた時に他の団体よりも高度な対策を講じていたとして責任の追及を逃れることだけだ。そんな認識の甘さでは必ずいつか彼等は大きな問題に直面するだろう。なぜならば、まさにコストを負担してまでワンタイムパスワードの導入が必要になったことが示しているように、セキュリティに対する企業・組織の社会的責任は今や現実の物となりつつあるのだから。セキュリティの問題が生じた時に、彼らがどれだけの資金をセキュリティ対策につぎ込んだかではなく、単純に彼等に過失がなかったかどうかが問題となる、そういう時がやってくるだろう。というより、コンピュータとネットーワクが真に社会的なインフラになるには、そのようにならなければならない。

さらに、こうした場面で、セキュリティ技術はほとんど「マイナスイオン」と同じノリで使われている。過去にも実効性のない「新セキュリティ技術」を大枚はたいて企業が導入した事例はあったようだが、近いうちにとんでもない喜劇が起こるだろう。誰かが新技術を導入したら、業界全体が右に倣えで追随しなければいけない、そういう状況を彼等自信が作り出しているのだから。
スポンサーサイト
コメント
この記事へのコメント
コメントを投稿する

管理者にだけ表示を許可する
トラックバック
この記事のトラックバックURL
この記事へのトラックバック
(C)Copyright 2003-2007 by Ruke All rights reserved. Powered By FC2. VALID HTML? VALID CSS?
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。