いよいよ年末。
2021年はどんな年でしたか?
さて、今回は「パソコン界で常識だと思われてたけど、今ではやってはいけないこと」を2つ紹介します。
古い常識は2021年に置いて、新しい常識を身につけましょう!
目次
古い常識1:定期的なパスワードの変更
パソコンに関する情報で「安全の為に、定期的にパスワードを変更しましょう」と書かれていることがあります。
他にも、どこかの会員サイトにログインした後に、「〇日間パスワードが変更されていないようです。新しいパスワードを決めてください。」とパスワードの変更を促されることがありますね。
「パスワードは定期的に変更する方が望ましい」という常識や習慣があるようですが、最近では「定期的なパスワードの変更は良くないこと」とされています。
2018年に総務省も「定期的なパスワードの変更は不要」と方針を変更しました。
安全なパスワード管理|国民のための情報セキュリティサイト
https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/01.html
ちなみに、なぜ定期的なパスワードの変更は不要なのかと言うと、「定期的なパスワードの変更が必要な場合、人間はできるだけ簡単なパスワードを設定してしまうから」です。
正しいパスワード作成・管理方法は?
では、パスワードはどのように作成・管理すれば良いのでしょうか?
答えは、「サイトごとに強固なパスワードを設定する」が最も正しいパスワード管理になります。
「サイトごとに」というのは、同じパスワードを色々なサイトで使いまわさない、ということですね。
同一パスワードの使用は、最も危険な事です。
なぜなら、どこかのサイトで情報漏洩が起きた場合、そのIDとパスワードを使って様々なサービスにログインしようとする犯罪者がいるからです。
同一のパスワードを利用している場合、情報漏洩してしまったそのサービスだけでなく、同一パスワードを使っている全てのサービスで盗難や乗っ取られてしまう可能性があります。
同一パスワードの流用は、最も避けるべきパスワードの管理方法となります。
そして、「強固なパスワード」というのは、簡単には推測できない・作り出せない、という意味です。
強固なパスワードの考え方について、総務省のサイトより引用します。
- 名前などの個人情報からは推測できないこと
- 英単語などをそのまま使用していないこと
- アルファベットと数字が混在していること
- 適切な長さの文字列であること
- 類推しやすい並び方やその安易な組合せにしないこと
これらに気を付けつつ、サイトごとに固有のパスワードを作成するのが、最も安全なパスワード管理となります。
古い常識2:PPAP
PPAPとは
Password付きZIPファイルを送ります、Passwordを送ります、Angoka(暗号化)Protocol(プロトコル)
の略です。
企業からのメールで、エクセルやワードなどの添付ファイルが送られる場合、1通目でパスワード付きZIPファイルが送られてきて、2通目でパスワード付きZIPファイルを解除する為のパスワードが送られてくる、というアレですね。
余談ですが、元々は、この添付ファイルの送信の仕方に特段の名称は付いていませんでしたが、ピコ太郎氏のPPAPが流行した際に、それにあやかって(?)このメール送信方式もPPAPと名付けられてしまいました。
さて、話は戻って、なぜPPAPは良くないか、というと、セキュリティ的に意味が無いどころか、場合によってはセキュリティを下げてしまうからです。
セキュリティ的に意味が無いというのは、「1通目のパスワード付きZIPが傍受できる環境であれば、2通目の解除用のパスワードも読めてしまう」からです。錠の隣に鍵が置いてあっては、錠の意味が無いのと同じです。
そして、セキュリティを下げてしまう理由は、「パスワード付きZIPはパソコンに常駐しているウイルス対策ソフトが正しくウイルスが感知できなくなってしまう」というデメリットがあります。パスワードが無ければウイルス対策ソフトでウイルスを撃退できたのに、パスワード付きの為にウイルス対策ソフトが反応できず、ウイルスに乗っ取られてしまった、ということが起こりえます。
このように、意味が無いか、セキュリティを下げてしまうおかしな風習は、世界中で日本だけで行われてきました。
そして、最近になりようやく、プライバシーマークを認定している一般財団法人日本情報経済社会推進協議会が「プライバシーマーク制度では上記の方法による個人情報を含むファイルの送信は、メールの誤送信等による個人情報の漏洩を防げないこと等から、従来から推奨しておりません。」と明言されました。
また、政府においても、2020年11月24日に元デジタル大臣の平井卓也氏より「PPAPの廃止(パスワード別送zipファイルの廃止)」が明言されました。
未だにPPAPでメールを送ってくる企業もたくさんありますが、やめましょう。
正しい添付ファイルの送信方法は?
では、添付ファイルを安全に送りたい場合、どのようにすれば良いのでしょうか?
まず、重要ではない情報なら、いちいちパスワードは設定しない、という割り切りが大事です。
それでもパスワード設定が必要な場合に、できるだけ簡単で費用をかけない方法は、パスワード付きZIPファイルをメールで送り、パスワードは電話・FAX・SMSなどのメール以外のサービスで伝える、という方法です。
この場合には、パソコンメールの傍受と電話の傍受、パソコンメールの傍受とFAXの傍受、など、2つの異なる経路を傍受しなければなりませんので、セキュリティは格段に上がります。
この方法が最も簡単で費用も安く、セキュリティも強固になります。
まとめ:間違った常識を改めて生産性とセキュリティを向上させよう
今回はやってはいけない(パソコン編)として、「パソコン界で常識だと思われてたけど、今ではやってはいけないこと」を2つ紹介しました。
どちらも、やっている人は良かれと思ってやっていることだと思いますが、実際には「生産性を下げ、セキュリティを下げる」という最悪の常識です。
2021年までの常識をアップデートして、2022年の常識に切り替えていきましょう!
それではみなさん、良いお年をお迎えください!