[情報セキュリティ担当者必見] パスフレーズの活用でセキュリティを強化する

passphrase.jpg

ここ最近、8桁から12桁程度の文字列で認証を行うパスワード認証に加えて、より高いセキュリティの実現を目的とした「パスフレーズ」の利用が徐々に拡大しています。以下では、新たに登場してきたパスフレーズとどのように向き合えばよいかについてお伝えします。

PIN・パスワード・パスフレーズの違い

pin.jpg

会社内の業務システムや、インターネット上のサービスを利用する際、ほとんどのサービスは「ID」と「パスワード」を要求し、サービス利用者の認証ならびに不正アクセスの防止を行っています。

パスワード (Password) は「ワード (Word)」という語がある通り、数字だけの数列でなく、数字とアルファベットの組み合わせを利用した秘密の文字列を指します。このパスワード文字列を、パスワード作成者(サービス利用者)のみが記憶し、第三者に知らせないようにすることで、パスワードを知っている人=正しいサービス利用者であると識別することができます。

なお、現在のパスワード認証では、ほとんど全ての認証システムで「数字」と「アルファベット」の両方を用いることができます。これに加えて、システム・サービスによっては「アルファベットの大文字と小文字を区別する」「記号も利用可能」といった形で、一段高いセキュリティを実現しています。

なお、数字のみの数列の場合は、パスワードとは言わず PIN (Personal Identification Number) と呼ばれるのが一般的です。最も一般的なものは、キャッシュカードで預金を下ろすときの4桁の数列です。PINは数列なので、アルファベットや記号を用いることはできません。

さて、パスフレーズ (Pass Phrase) ですが、「フレーズ (Phrase)」とある通り、複数の単語、文字列を組み合わせたフレーズをパスワード代わりに利用するものです。パスワードとパスフレーズの大きな違いは2点です。

1.利用可能な文字数(桁数)が多い

多くのパスワードは8桁から10数桁程度が上限となっており、これ以上の桁数での設定はできません。これに対してパスフレーズは、一般的に数十桁の利用が可能です。

2.スペースの利用が可能

パスワードは「数字」「アルファベット大文字・小文字」「記号」のみの利用が可能である場合が多く、「スペース」の利用は不可としている場合がほとんどです。これに対してパスフレーズは「フレーズ=複数の単語をスペースでつなげて作る言い回し、文章」であるため、スペースの利用が可能である場合がほとんどです。

なお、「パスフレーズには必ずスペースを含まねばならない」というわけではありません。スペースを利用するかしないかは利用者に委ねられており、パスフレーズの要件ではありません。

なぜパスフレーズの必要性が増大しているのか

grow.jpg

前章で「パスフレーズとは何か」についてご理解いただけたかと思います。では、そもそもなぜパスフレーズが今注目されているのか、必要性が増大しているのかについてお伝えします。

1.パスワードの使い回し・脆弱なパスワードが増加した

現在はパソコンだけでなく、スマートフォンを利用してあらゆるサービスをインターネット上から利用できるようになりました。そして、利用可能なサービスの数は日々増大していっています。

例えば、30年前であればパスワードを使う必要が全くなかったであろう児童、学生、主婦、高齢者であっても、現在は「Facebook」「Instagram」「Gmail」「Twitter」「LINE」「Dropbox」「Snapchat」「Amazon」「楽天」「ネットバンキング」などで日々パスワードを入力しています。

家庭や学校などで「どのように強固なパスワードを設定すべきか」といった情報セキュリティ教育が行われているわけではありません。そのため、驚くほど脆弱なパスワードが利用されていたり、同じパスワードが複数のサービスで使い回されるといった問題が発生します。

2.総当たり攻撃が容易になった

不正アクセスを試みる攻撃者が、利用されている可能性があるパスワードを総当たりで攻撃する方法は「ブルートフォース攻撃」と呼ばれます。一般的によく用いられている脆弱なパスワード、またはIDから類推できるパスワードを用いて、ひたすら攻撃を繰り返すという手法です。

かつてこの総当たり攻撃は、非常に効率が悪い方法でした。なぜなら、総当たり攻撃を行うためには膨大なマシンリソースが必要で、そのマシンリソースを物理マシンとして調達しなければならなかったためです。不正アクセスを行うにもお金がかかる時代だったのです。

しかし現在は、クラウドサービスを利用してマシンリソースを調達することで、物理マシンを購入する必要はなくなりました。これにより、必要なときに、必要なだけ、不正アクセスを行うためのマシンリソースを安価に調達できるようになりました。私たちがクラウドにより大きなメリットを得ているのと同様、不正アクセスを試みる攻撃者もクラウドにより力を得ています。

かつては効率の悪い方法と思われていましたが、安価なクラウドのマシンリソースを使うことで、総当たり攻撃を効率的かつ安価に行うことができるようになりました。このため、8桁から12桁程度しかないパスワードという仕組み自体が脆弱になったと言えます。

3.覚えやすくセキュリティ強度が高いという現実的な解決策である

脆弱でない強固なパスワードは、通常記憶しにくい複雑なものである場合がほとんどです。例えば「&sWk1Uz#」といったランダムなパスワード文字列を、ログインが必要なサービスごとに10個も20個も生成して間違えずに記憶するのは、現実的ではありません。このため、たとえ強固なパスワードを作ったとしても、実際の運用において「複数のサービスで使い回される」という事態が発生してしまいます。

パスフレーズはこうした問題に対する「現実的な回答」です。文字列の桁数が増えれば増えるほど強度が増すためです。そして、ランダムな文字列ではなく意味のあるフレーズ(または文章)であるため、記憶するのは比較的容易です。

2700万年破られないパスフレーズを作成・記憶する3つのポイント

universe.jpg

Ebayの創始者であるPierre Omidyarにより設立された調査ジャーナリズム・ニュースメディア「The Intercept」は、「アメリカ国家安全保障局 (NSA) でも推測できないが、あなたが記憶しておけるパスフレーズ」という題名の記事で、パスフレーズの作成について以下の助言を行っています。

1.映画や本、歌詞などのフレーズを利用しない

多くの人は「フレーズ」というと、自分が好きな映画のセリフ、シェークスピアの一節、ポップスの歌詞などを引っ張り出してきて、それを少しだけ変えて利用しようとします。例えば、「小文字を大文字に変える」「句読点を追加する」「文字の一部を変える」などです。

映画や本、歌詞のフレーズをそのまま引用、または引用したものを一部改変してパスフレーズとすることの弱点は「推測可能である」ということです。「The Intercept」では、有名なフレーズを利用した時点で、攻撃される可能性が高い「基礎情報」を提供してしまっている、としています。

不正アクセスによりアカウントを乗っ取って利益を得ようとする攻撃者は、パスフレーズの推測プログラムに多大なお金を投資しています。世の中で多く用いられている映画のセリフ、本の一節、音楽の歌詞などのフレーズを全て登録したうえで、フレーズに対してよく行われる変更・修正方法についても登録した上で攻撃を行います。

2.Dicewareを使い7フレーズを含むパスフレーズを作成する

Diceとはサイコロの意味です。Dicewareとは、パスフレーズを作成する方法の一つで、「サイコロを5回振って、出た目に対応する文字列をパスフレーズの値として複数利用し、無意味で破られにくい文字列を作成する」という方法です。対応する文字列は全部で7776個あります。

Dicewareのパスフレーズリストを見ると、例えばサイコロを5回振って、その目が「24456」だった場合、対応する値は「eo」という文字列です。これを7回繰り返して、以下のような値が出たとします。

  • 24456 eo
  • 11461 air
  • 13615 bel
  • 31541 grasp
  • 54542 snook
  • 31455 gosh
  • 51224 r&d

ちなみにThe Interceptによると、強固なパスフレーズを作るためには、7個のフレーズを使うことが推奨されています(この場合、サイコロを合計35回振ることになります)。この方法で作成したパスフレーズを推測するには、1日1兆回攻撃されたとしても、パスワードが破られるまで平均で2700万年かかるため、極めて強固なパスワードといってよいでしょう。

なお、5フレーズしかないパスフレーズの場合、半年以内に攻撃が成功するとされています。6フレーズの場合は、3505年かかると見られています。

3.記憶できるようになるまで紙に書いて持ち歩く

記憶できるまでのわずかな時間、具体的にはパスフレーズを作成したその日、1日だけパスフレーズを書いた紙を持ち歩き、何度かパスフレーズを入力して記憶することを推奨しています。パスフレーズを記憶できたと確信した時点で、紙を破棄します。

また記憶には2日以上かけるべきでないとされています(パスフレーズを記録した紙の紛失リスクがあるためです)。

パスフレーズの導入は今後拡大が見込まれていますが、現時点 (2018年1月) では、パスフレーズの利用に対応していない製品・サービスが大多数です。こうした中、認証に際してのセキュリティを保つ方法として、IDaaS (Identity as a Service: クラウド型IDパスワード・パスフレーズ管理サービス、アイダース) の利用が増加しています。

IDaaSに各個別サービスのID・パスワードを登録したうえで、IDaaSにログインするための1つの強固なパスフレーズを作成します。1つのパスフレーズを記憶して、IDaaSにログインするだけで、IDaaS経由で各個別サービスへのログインを代行してくれます。

なおトラスト・ログインは、スペース以外の長文のパスフレーズにも対応したIDaaSで、無料で利用することができます。ぜひお試しいただき、パスフレーズ利用ならびセキュリティ強化にお役立てください。

[情報セキュリティ担当者必見] パスフレーズの活用でセキュリティを強化する

passphrase.jpg

ここ最近、8桁から12桁程度の文字列で認証を行うパスワード認証に加えて、より高いセキュリティの実現を目的とした「パスフレーズ」の利用が徐々に拡大しています。以下では、新たに登場してきたパスフレーズとどのように向き合えばよいかについてお伝えします。

PIN・パスワード・パスフレーズの違い

pin.jpg

会社内の業務システムや、インターネット上のサービスを利用する際、ほとんどのサービスは「ID」と「パスワード」を要求し、サービス利用者の認証ならびに不正アクセスの防止を行っています。

パスワード (Password) は「ワード (Word)」という語がある通り、数字だけの数列でなく、数字とアルファベットの組み合わせを利用した秘密の文字列を指します。このパスワード文字列を、パスワード作成者(サービス利用者)のみが記憶し、第三者に知らせないようにすることで、パスワードを知っている人=正しいサービス利用者であると識別することができます。

なお、現在のパスワード認証では、ほとんど全ての認証システムで「数字」と「アルファベット」の両方を用いることができます。これに加えて、システム・サービスによっては「アルファベットの大文字と小文字を区別する」「記号も利用可能」といった形で、一段高いセキュリティを実現しています。

なお、数字のみの数列の場合は、パスワードとは言わず PIN (Personal Identification Number) と呼ばれるのが一般的です。最も一般的なものは、キャッシュカードで預金を下ろすときの4桁の数列です。PINは数列なので、アルファベットや記号を用いることはできません。

さて、パスフレーズ (Pass Phrase) ですが、「フレーズ (Phrase)」とある通り、複数の単語、文字列を組み合わせたフレーズをパスワード代わりに利用するものです。パスワードとパスフレーズの大きな違いは2点です。

1.利用可能な文字数(桁数)が多い

多くのパスワードは8桁から10数桁程度が上限となっており、これ以上の桁数での設定はできません。これに対してパスフレーズは、一般的に数十桁の利用が可能です。

2.スペースの利用が可能

パスワードは「数字」「アルファベット大文字・小文字」「記号」のみの利用が可能である場合が多く、「スペース」の利用は不可としている場合がほとんどです。これに対してパスフレーズは「フレーズ=複数の単語をスペースでつなげて作る言い回し、文章」であるため、スペースの利用が可能である場合がほとんどです。

なお、「パスフレーズには必ずスペースを含まねばならない」というわけではありません。スペースを利用するかしないかは利用者に委ねられており、パスフレーズの要件ではありません。

なぜパスフレーズの必要性が増大しているのか

grow.jpg

前章で「パスフレーズとは何か」についてご理解いただけたかと思います。では、そもそもなぜパスフレーズが今注目されているのか、必要性が増大しているのかについてお伝えします。

1.パスワードの使い回し・脆弱なパスワードが増加した

現在はパソコンだけでなく、スマートフォンを利用してあらゆるサービスをインターネット上から利用できるようになりました。そして、利用可能なサービスの数は日々増大していっています。

例えば、30年前であればパスワードを使う必要が全くなかったであろう児童、学生、主婦、高齢者であっても、現在は「Facebook」「Instagram」「Gmail」「Twitter」「LINE」「Dropbox」「Snapchat」「Amazon」「楽天」「ネットバンキング」などで日々パスワードを入力しています。

家庭や学校などで「どのように強固なパスワードを設定すべきか」といった情報セキュリティ教育が行われているわけではありません。そのため、驚くほど脆弱なパスワードが利用されていたり、同じパスワードが複数のサービスで使い回されるといった問題が発生します。

2.総当たり攻撃が容易になった

不正アクセスを試みる攻撃者が、利用されている可能性があるパスワードを総当たりで攻撃する方法は「ブルートフォース攻撃」と呼ばれます。一般的によく用いられている脆弱なパスワード、またはIDから類推できるパスワードを用いて、ひたすら攻撃を繰り返すという手法です。

かつてこの総当たり攻撃は、非常に効率が悪い方法でした。なぜなら、総当たり攻撃を行うためには膨大なマシンリソースが必要で、そのマシンリソースを物理マシンとして調達しなければならなかったためです。不正アクセスを行うにもお金がかかる時代だったのです。

しかし現在は、クラウドサービスを利用してマシンリソースを調達することで、物理マシンを購入する必要はなくなりました。これにより、必要なときに、必要なだけ、不正アクセスを行うためのマシンリソースを安価に調達できるようになりました。私たちがクラウドにより大きなメリットを得ているのと同様、不正アクセスを試みる攻撃者もクラウドにより力を得ています。

かつては効率の悪い方法と思われていましたが、安価なクラウドのマシンリソースを使うことで、総当たり攻撃を効率的かつ安価に行うことができるようになりました。このため、8桁から12桁程度しかないパスワードという仕組み自体が脆弱になったと言えます。

3.覚えやすくセキュリティ強度が高いという現実的な解決策である

脆弱でない強固なパスワードは、通常記憶しにくい複雑なものである場合がほとんどです。例えば「&sWk1Uz#」といったランダムなパスワード文字列を、ログインが必要なサービスごとに10個も20個も生成して間違えずに記憶するのは、現実的ではありません。このため、たとえ強固なパスワードを作ったとしても、実際の運用において「複数のサービスで使い回される」という事態が発生してしまいます。

パスフレーズはこうした問題に対する「現実的な回答」です。文字列の桁数が増えれば増えるほど強度が増すためです。そして、ランダムな文字列ではなく意味のあるフレーズ(または文章)であるため、記憶するのは比較的容易です。

2700万年破られないパスフレーズを作成・記憶する3つのポイント

universe.jpg

Ebayの創始者であるPierre Omidyarにより設立された調査ジャーナリズム・ニュースメディア「The Intercept」は、「アメリカ国家安全保障局 (NSA) でも推測できないが、あなたが記憶しておけるパスフレーズ」という題名の記事で、パスフレーズの作成について以下の助言を行っています。

1.映画や本、歌詞などのフレーズを利用しない

多くの人は「フレーズ」というと、自分が好きな映画のセリフ、シェークスピアの一節、ポップスの歌詞などを引っ張り出してきて、それを少しだけ変えて利用しようとします。例えば、「小文字を大文字に変える」「句読点を追加する」「文字の一部を変える」などです。

映画や本、歌詞のフレーズをそのまま引用、または引用したものを一部改変してパスフレーズとすることの弱点は「推測可能である」ということです。「The Intercept」では、有名なフレーズを利用した時点で、攻撃される可能性が高い「基礎情報」を提供してしまっている、としています。

不正アクセスによりアカウントを乗っ取って利益を得ようとする攻撃者は、パスフレーズの推測プログラムに多大なお金を投資しています。世の中で多く用いられている映画のセリフ、本の一節、音楽の歌詞などのフレーズを全て登録したうえで、フレーズに対してよく行われる変更・修正方法についても登録した上で攻撃を行います。

2.Dicewareを使い7フレーズを含むパスフレーズを作成する

Diceとはサイコロの意味です。Dicewareとは、パスフレーズを作成する方法の一つで、「サイコロを5回振って、出た目に対応する文字列をパスフレーズの値として複数利用し、無意味で破られにくい文字列を作成する」という方法です。対応する文字列は全部で7776個あります。

Dicewareのパスフレーズリストを見ると、例えばサイコロを5回振って、その目が「24456」だった場合、対応する値は「eo」という文字列です。これを7回繰り返して、以下のような値が出たとします。

  • 24456 eo
  • 11461 air
  • 13615 bel
  • 31541 grasp
  • 54542 snook
  • 31455 gosh
  • 51224 r&d

ちなみにThe Interceptによると、強固なパスフレーズを作るためには、7個のフレーズを使うことが推奨されています(この場合、サイコロを合計35回振ることになります)。この方法で作成したパスフレーズを推測するには、1日1兆回攻撃されたとしても、パスワードが破られるまで平均で2700万年かかるため、極めて強固なパスワードといってよいでしょう。

なお、5フレーズしかないパスフレーズの場合、半年以内に攻撃が成功するとされています。6フレーズの場合は、3505年かかると見られています。

3.記憶できるようになるまで紙に書いて持ち歩く

記憶できるまでのわずかな時間、具体的にはパスフレーズを作成したその日、1日だけパスフレーズを書いた紙を持ち歩き、何度かパスフレーズを入力して記憶することを推奨しています。パスフレーズを記憶できたと確信した時点で、紙を破棄します。

また記憶には2日以上かけるべきでないとされています(パスフレーズを記録した紙の紛失リスクがあるためです)。

パスフレーズの導入は今後拡大が見込まれていますが、現時点 (2018年1月) では、パスフレーズの利用に対応していない製品・サービスが大多数です。こうした中、認証に際してのセキュリティを保つ方法として、IDaaS (Identity as a Service: クラウド型IDパスワード・パスフレーズ管理サービス、アイダース) の利用が増加しています。

IDaaSに各個別サービスのID・パスワードを登録したうえで、IDaaSにログインするための1つの強固なパスフレーズを作成します。1つのパスフレーズを記憶して、IDaaSにログインするだけで、IDaaS経由で各個別サービスへのログインを代行してくれます。

なおトラスト・ログインは、スペース以外の長文のパスフレーズにも対応したIDaaSで、無料で利用することができます。ぜひお試しいただき、パスフレーズ利用ならびセキュリティ強化にお役立てください。