【第九回】パスワードの堅牢制について

こんにちは。キューブ・エスの中村です。

今回はパスワードの安全性についてお話をさせて頂きます。

 

さて、先日も別の投稿で記載をしましたが

パスワードについては話をする機会が多いです。

 

とあるお客様曰く、

「パスワードは大文字・小文字・数字・記号で3カ月に一度必ず変更させたい」とのこと。

また別のお客様曰く、

「パスワードはパソコン内に例え暗号化されていたとしても保存はしてはいけない」とのこと。

こういう仕事をしていると、

ああ、会社によって様々なポリシーがあるものだな。。と驚かされます。

 

では、何が正しいのでしょうか?

 

はい、答えは、「わかりません」

ふざけるな!とお怒りの方もいらっしゃるでしょうが

いや、本当に判らないのです。

 

例えば、会社のセキュリティルールとして3カ月に1度変更する事

なんてルールがある会社もあります。

この会社において、「なぜ3カ月に1度更新する必要があるのか」ではなく

「そう言うルールでの運用が義務付けられている事が大切」だからです。

 

例えばPマークの運用、例えばISMSにおいて、PCIDSSにおいて

パスワード運用の規定がある事が多いです。

この為、規定通りに運用する事が大切である事を理解しなければなりません。

 

では実際のところ、運用で気を付けるべき点はどのような箇所なのでしょうか?

弊社では以下の点をお勧めはしております。

・セキュリティ規定で決まっている場合を除き、パスワード変更はしない

・パスワード管理はAD等の認証サーバを導入し、個々で行なう様にする

・管理者IDと個人IDは別に分け、個人IDは本人のみパスワードを知っている状態にする

・ディスプレイ前に付箋が張ってある等は言語道断

・パスワードは最低でも記号入り10文字で設定する

・パスワードは意味の無い文字の羅列にする

・認証サーバが無い場合は各システム別にパスワードを準備する(全て異なる事)

 

尚、昨年5月に発表された米国立標準技術研究所による昨年のガイドラインの内容から、

実際には定期的なパスワード変更をする事により、

極めて適当なパスワードを設定する事が多く、流用されたパスワードの

一部変更がされたパスワードを生成する傾向が強くある事から

パスワードの定期変更はしてはいけない、と勧告するとしました。

スペースも使用できる、最低64文字以上のパスフレーズを使用した認証を推奨するとの話です。

 

ちなみにパスワードの長さは記号+小文字大文字+数字のランダムな羅列の場合

8文字、9文字、10文字の違いだけでもそれぞれ1桁増えるごとに

全件検索での解読までの期間が約60倍になるとの事です。

10文字の場合で400年~500年かかる様になるとの事で

事実上不可能になりますので、是非とも記号を含めた物で

10文字以上で運用する事をお勧め致します。

【第八回】ランサムウェア対策として日ごろから心がける事とは?

こんにちは、キューブ・エス中村です。

 

実はこのような仕事をしている中で、

お客様からお聞きする一言があります。

特に昨今のウイルスが流行したタイミングでは必ずと言って

お聞きする一言なのですが。

「ウイルスにもしもかかってしまった場合はどうすればいいのか」

 

ウイルスにかからないようにするには?と言う観点が多い中

尤もなご質問だと思います。

我々も正直頭の痛いご質問です。

 

これら、3つの観点でお話をさせて頂きます。

 

■ウイルスにかかったと解ったその瞬間に行なうべき事

これは流石に常識として知られていますが、

ウイルスにかかったコンピュータの挙動としては

次の犠牲者を増やそうとする事が多いです。

コンピュータ内にあるメールアドレスデータを探しては

それらに勝手にメールを送信したり、

WannaCry等の場合はCIFSを使用して、

ネットワーク的に隣接するコンピュータに感染したりします。

 

なので、真っ先にすべきことは迷わずLANケーブルを抜いてください。

Wi-Fi接続PCの場合はWi-Fiを無効化する事です。

 

通信経路的にコンピュータが隔絶されれば他のコンピュータへの感染が防止できます。

また御社が攻撃者にコンピュータリソースを寄与する事も防げます。

 

■ウイルスにかかったコンピュータをどうするか

本来は望ましいのは、原因の究明が終わった段階で、

ユーザ情報も含めて、コンピュータ自体の初期化、OSのクリーンインストールを

行なうのが望ましいでしょう。

なぜならば、ウイルスの影響を受けたファイルがどこに存在しているかを

全て把握するのは非常に難しいからです。

一度感染した場合、このファイルを削除したから安全と言える状態はほぼ無いと考えて下さい。

 

さて、どうしても何らかの事情でコンピュータを現役に戻す必要がある場合はどうでしょうか

 

この場合は新種のウイルスである可能性を考慮し、1週間程度コンピュータは休眠させます。

その後、パターンのみがダウンロードできる検閲ネットワークを準備し、

※例えばTrendmicroのパターンダウンロードに必要なIPアドレス、ポート以外に対して

アクセスした場合はアクセスを拒否するネットワーク

これに接続の後、最新パターンにアップグレードしたウイルス対策ソフトで

コンピュータ内の全件検索を行ない、嫌疑のあったファイルは全て削除します。

 

そしてこの後、何が原因で感染したかを明確にしたうえで

※明確になってないと再発・ネットワーク内の他のコンピュータを危険に晒す

明確になった場合のみ、その原因を排除(例えば原因となったメールをクライアント・サーバから削除)した上でならば

通常ネットワーク内に復帰させても問題無いと言えるかと思います。

但し再度怪しい挙動が発生した際は、対応の為、再度ネットワークを抜くところから

実施する必要がある事も付け加えます。

 

■ウイルスがランサムウェアだった場合、支払いに応じるべきか

これは諸説ありますが、多くのランサムウェアにあるテスト復元が

正常にできる場合、そしてテスト復元だけで重要ファイルがもとに戻しきれ無い場合は

支払いに応じるのも一つの手かもしれません。

但し、じゃないと業務継続に影響がある場合限定です。

 

また、これで複合できたとしても上記通り、

一度暗号化されたり、感染したファイルが安全とは思わないでください。

 

■支払わない場合、ランサムウェアにかかった場合はどうすれば良いのか?

一度感染したコンピュータは安全ではないとするのであればどうすれば良いのか。

一番簡単な方法は感染前まで時を戻す事。

つまりバックアップから感染前の状態に戻す必要があります。

 

なので、実はウイルス対策としてバックアップを定期的に取得する事は非常に有効です。

 

なので、ファイルサーバや個々が重要なデータを持つコンピュータの場合は

是非とも定期的、且つ世代的なバックアップを取得できる様にして下さい。

時限的な発症をするタイプのウイルスではない場合、

ランサムウェアに感染していないOSバックアップが残っていれば

復旧作業としてバックアップは非常に有効です。

 


尚、これ等の挙動を自動的にやってくれる

ウイルス対策ソフトも今は存在します。

そもそも、ウイルス検知時に自動的にネットワークを

遮断したりするソリューションも存在します。

一度ご連絡頂ければ、御社最適なご提案をお約束致しますので

どうぞお気軽にご連絡下さいませ。

 

【第七回】新規投資最小限のセキュリティ対策とは(第二回目

こんにちは。キューブ・エス中村です。

前回に引き続き、費用最小限で行なうセキュリティ対策についてお話をします。

 

前回も書いた事ではありますが、セキュリティ脅威を大別すると

1.社外秘情報(社員個人情報・顧客情報を含む)の漏洩

2.社外秘情報の無効化/消去

3.PC等IT資産の破損、使用妨害

4.ネットワークへの侵入、通信妨害・破壊

等があると言いました。

 

前回はこれ等をプログラム的に行なう事が出来るウイルスへの対策ではありましたが

今回はこれ等を行なう事が出来る社員による内部犯的な動きについて

費用を極力かけずに対策する事を考えてみましょう。

 

■コンピュータディスクの暗号化

ファイルサーバ等を持たない場合、Windows標準の機能で構いませんので

BitLocker等でHDD/SSDの起動領域、データ領域をパスワード暗号化してしまう事を

お勧めします。

 

パソコンの内部に保存された情報が暗号化されていない場合、

パソコンが盗難、又は紛失した場合に、他のコンピュータにつなげ直すことで

容易にアクセスし、内容を読み出す事が出来てしまうからです。

 

ディスクを暗号化してしまえば、これを避ける事が可能です。

しかも、ローカルログインをする際のパスワードクラック等を

受け付けなくする方法にもなりえる為、まずは非常に効果的であると言えるかと思います。

 

■ファイルサーバの導入

出来る限り費用をかけず、とお話しているのに、比較的準備に費用が掛かる内容が出てきました。

申し訳ない!とは言いつつ、ちゃんと理由があります。

 

個人のコンピュータに保存した場合、万が一のファイルの破損、

ウイルス混入による影響が図りしれない為です。

 

高機能NAS等のファイルサーバとなる物を準備すれば比較的安価に、

そして安全にファイルの管理を行なう事が出来、万が一ウイルスの混入等があった場合も

至急新調したパソコンからファイルサーバ内のファイルを確認する事で

業務継続を行なう事が出来るメリットがあります。

 

■ファイルサーバ内のユーザ細分化とアクセス権管理

さて、ファイルサーバの導入をしたとして、

ユーザの細分化とアクセス権管理が出来てない場合はどうなるでしょうか。

 

考えられる可能性はいくつかありますが、

例えば役員以外が見る必要のない社外秘資料が一般社員にも見えてしまったり

操作が出来てしまった場合は簡単にコピーして漏洩する事が出来てしまいます。

 

また、ユーザ作成・設定が面倒との話で、兼用するケースも好ましくありません。

user01と言うユーザを一般社員皆で使っている。。。なんてケースの場合、

深夜に侵入した過去に勤務していた何者かがuser01を使用してデータを盗んで。。。

何てことも考えられる事を強く意識する必要があるでしょう。

出来る限り、その人専用のユーザを作成して個々に使ってもらう様して下さい。

 

■覚えられる、且つ長さのあるパスワード

これだけやってさあ安心。。。と思いきや、

覚えられない様な相当に複雑なパスワードを使用する場合、

パソコンの前に付箋でパスワードを書いて張り付けているケース等も顧客現場で散見します。

言わずもがなこれは、本当にまずいです。何にも守られていないという事ですから。。。

 

じゃあどうすれば良いのか?

ここで一つの質問なのですが、

全く意味を持たない複雑な8桁のパスワードと

少々意味を持つ16桁のパスワードを比較した場合

どちらが解除されにくいのでしょうか?

 

実は答えは後者なのはご存知でしょうか。

勿論、少々意味を持つといえども、P@ssW0rdとか、123qweSAD等の

一般的に多すぎて突破されやすいとされる文字列を含んだ物は絶対にNGで、

且つ英大文字小文字+数字位は使う必要があります。

 

 

基本的にパスワードを解読する場合、攻撃方法で一番多いのは

ブルートフォースアタック(総当たり攻撃)です。

総当たりの場合、攻撃用のパターンについて

・アルファベット(小文字のみ(26文字))

・アルファベット(大文字+小文字(52文字)

・アルファベット+数字(大文字+小文字+数字(62文字)

・アルファベット+数字+記号(大文字+小文字+数字+記号(93文字)

のそれぞれで検証をしたところ

6桁のパスワードの場合、小文字だけならば1秒未満で解読できたものが10桁ならば9時間かかり

英数字(大文字小文字数字)だと6桁が13秒、10桁が約6年

記号も含めた場合は6桁が2分半、10桁が341年かかるだろう。。。と言う研究結果が出たとの事です。

 

総当たりと言う事は意味が無いものも結局は試してみる動きになります。

なので、意味があるか無いかはそんなに関係する所ではありません。

そして、むしろ文字パターンを増やしても6桁だと140倍(1秒未満→146秒)位しか影響がなかったものが

4桁増やすだけで32400倍(9時間)の強固さを得られるという事です。

但し、9時間位ならばパソコンをつけて解析を行なう事が現実的に可能です。

これを避ける為には全パターンを検索するのに6年かかるアルファベット大文字小文字+数字位は

パターンがあり、且つ忘れない様にメモをしないといけない様な物ではなく

個々人が忘れることはないパターンで10桁以上、願わくば16桁位のものを使えば

まぁ、まず突破されることは無いでしょう