「3月3日、ひな祭りの日曜日に米エバーノート社から届いた「セキュリティ関連のお知らせ」に肝を冷やされた方も多いのではないか。そのお知らせは単なるアプリ更新ではなくパスワード再設定のお願いだったからだ。
エバーノートから送られた「パスワード再設定のお願い」のメール
Evernoteは、スマートフォン(スマホ)やパソコンを購入するとあらかじめインストールされていることが多く、日本でも有名かつ代表的なオンラインストレージサービス(いわゆるクラウドサービス)の一つとなっている。同サービスのユーザーに向けた、「パスワードを変更してほしい」との依頼が世界を駆け巡った。
ユーザーのなかには仕事上の書類のほか、写真や音声(例えば打ち合わせ時のホワイトボードの写しや会話の記録)などを保管している方がいるだろう。プライベートな写真など人に見せたくないものを格納しているユーザーもいるに違いない。
今回は緊急特別編として、エバーノート社が公開した情報を基に、同社のユーザーはどういった対策が必要になるかを整理する。」日経新聞 3月5日
求められる5つの対応
一作日だったか、昨日だったか、いつものようにEvernoteを開き、使おうとしたら、IDとパスワードの入力を求められた。いつもなら自動ログインするのにである。それで従来のIDとパスワードをを求められたので、それを入れたがログインできず、パスワードを再設定せよとのことだった。
私にはなんのためらいも、疑いもない。それに従いなんなく新しいパスワードを再設定したのであった。Evernoteのセキュリティ対策に問題があって、Evernoteがそうしたアクションを世界的規模で取っていたなどを知ったのはむしろその後のことであった。
そういえば、昨日はいつも問題なく自動ログインしているFacebookも、改めてID、パスワードの入力を求められたが、こちらはいつも使っているそれでログインできた。私に言わせるとこんなこと日常茶飯事で、別になにも珍しいことでない。というのも、さまざまな理由、こちらがいつもと違うパソコンを使ったからそうなったとか、入力したID、パスワードが保存されているはずが、なんらかの理由で消えてしまったからとか、こちらの入力にはなんの落ち度もないが、相手側がなんらかの理由、セキュリティ管理上そうしたアクションを取っているのであろうと黙ってその指示に従うことはこれまでも多々あった。従うも従わないもない、従わざるをえないということである。今回のEvernoteのケースはまさにそれであった。セキュリティ管理に責任のなるサイト側のやることにそうした要求に応えることなど当然のことなのだ。
私自身おそらく最低10箇所、それ以上のネットサービスを利用していて、数多くのIDとパスワードを使っている。基本的には使い回しがいけないことは分かっているが、いくつか結果的にはそうなっているものもある。しかし基本的にはIDはともかく、パスワードの方はできる限り10桁以上のものを使い、少しづつそれを変え違う形で使っているのが実情だ。もちろん念のためそれを誰にも知られないような形で記録はしているものの実際には、そのノートを見ることは殆どない。
殆どそれぞれのものは記憶しているが、仮にパスワードを入れ、それは違うと言われたら、さっさとその時点で、パスワード再設定のために相手側にメールしてしまう。そうすれば、ものの5分もかからない内に、パスワードをリセットすることができることが殆どだ。そうして結果的にはある意味定期的に最初の設定のものと違うパスワードが出来ていくことになるのだ。面倒くさいことが大嫌いな私でもそれだけは我慢強くやる。それが最善のセキュリティ管理につながると思っているからだ。
毎回々々あらゆるサイトに問題なく自動ログインできるような状況こそが危ないと思うし、向こうの事情、こっちの事情でパスワードがある意味定期的に変わっていくことこそがよりベターなセキュリ対策になっているという理解である。
というのも、一つにはかってビジネスマン時代、メールというものを使い始めた頃、その会社では毎日のデータのやり取りのために、パスワードは毎日変えるということを体験していたことがその背景にある。それは実に面倒なことではあったが、その必要性も理解できたし、セキュリティ管理とはそんなものだという意識もそれでできたのだろう。
ところが、パソコンなるもの、さらにネットワーク、メールなるものを初めて使い始めた人は、そうしたセキュリティ対策の大切さがいまいちお分かりになっていない。それは無理もないところはある。IDはともかく、そもそもパスワードの存在、それは最低文字、数字、特殊文字の組み合わせで最低10桁以上が望ましいなどという意味もお分かりでないことが多い。第一そうでなくても、文字入力がいまひとつあやふやな事自体が原因で、そのパスワード自体が通らない、ログイン自体が大変という事態に直面される。それを棚上げして、「だからパソコンなんて嫌いだ、メール、インターネットなど面倒くさい」となってしまう。本末転倒なのである。
何度入れてもダメと言うが、そもそもその入力自体が間違っていることが多いのだ。大文字小文字、全角、半角、特殊文字の入力などで引っかかるのだ。点一つ違っても、それが受け入れられるわけがないのである。
もし入力自体が正しいのに受け付けてもらえないということは、そのパスワード自体が違うのだからそれはさっさと諦めて、上記のようにメールでその再設定を要求すればいいのである。それは面倒なことだがしかたがない。私自身何度もその経験があるが、それをやってパスワードを再設定できなかったことなどかって一度もないし、またそれをやることで、そうした操作、手順を自然に覚えていくものだ。。
そのメールを受け取った相手サイト側は、そこに登録された個人情報を確認の上、それが正しいというか、その情報記載内容に問題がなければ、必ず返答、求めに応じてくれるのだ。それはまさにコンピュータが全てやることで間違えようがないのである。
そうしたルーティンワークをスムースに行うためにも、ID、パスワード登録の時に記載する個人情報内容にうそ偽りを書かないことだ。姓名、住所、電話番号、年齢などである。そうした個人情報が不正行為によって外部にもれることはあるかもしれないが、だから真実と違うこと書く事はない。すべて真実を書いておくべきなのである。その個人情報管理はシステム側が責任を持ってやるべきことなど当然だが、しかし同時に相手を信用し、会員になる限り、個人情報をきちんと登録する必要があるのは当然であろう。
これは誰でも経験することだが、会員登録の時、パスワードを設定しようとすると、妙な数字を読ませるルーティンにひっかかり、にっちもさっちも進まなくなることがある。それが意地悪だと捉える人が多いが。あれはサイトシステム側が、ロボット悪用使用対策のためなのだ。セキュリティ管理の重要な方法の一つである。それを「なんだこんな面倒なことをやらせるならヤーメタ」となることがおかしいのだ。
毎日さまざまなネットサイトを利用させてもらっている。Yahoo関連、Google関連、Facebook、Twitter、Evernote、iTuneなどなどである。Webページ閲覧、メール、BLOG、SNS、ツイッター、リモートストレージ、動画、音楽関連などその内容は多岐にわたる。その殆どが無料なのである。それを金銭に換算したらどうなるか。実にすごい費用が掛かっているのである。
そんな中、それぞれすごい中身のあるすばらしい仕組みを利用させてもらっているのである。そこにログインしそれを使わせてもらうということ、その有り難さをもっと感じていいはずだ。そのコミュニティにはたしかにいい人、善良な人もいるが、とんでもない泥棒、スリ、詐偽の類もいることは避けようがないことなのである。プロフイールではさすがそれはチェックできない。
それぞれのサイト管理側がそうした悪玉の行為をどう監視し、管理するか、それがいかに大変なことであるか、ユーザーそれぞれもっとその基本的理解を深めるべきだと私自身は思っている。
冒頭の日経記事は全文お読みになることをお勧めするが、ややこしいやや技術的に偏った解説も出てなんのことだがよくわからないこともある。しかし二点そのとおりだと思うことがあった。
一つはセキュリ対策の中で、パスワード変更のことなどに応じる協力するのは当然としても、その中で一体自分は何者か、それを明確にしておくことと、そもそもどのようにプロフィールを書いているのか、なんのためのそのサイトのサービスを利用するのかの認識をきちんと持って臨むべきだという趣旨のことが書かれていた。その通りではないか。
もう一つ、このセキュリティ対策、システム管理側に期待すること大であることには変わりはないが、最終的にはその全ては自己責任という原則を忘れないことだとあった。その通りだと思う。その意味は幅広い。それについて、私自身はこう考えている。
まずネットの世界であろうと、どんな世界であろうと、社会人としての常識というか、最低限の安全意識をきちんと持つべきだということである。あれだけ大騒ぎしているのになぜあの振込詐偽事件相変わらず多発するかである。そんな詐偽をやる方が悪いに決まっている。あのような犯罪にはもっと厳罰をもって臨むべきだ。
しかし、警察や、銀行などがやっきになってもそれを防げないのは、酷なことを言うようだが結局は騙される側の不注意、認識不足がある。それを自己責任の一言で片付けていけないことはもちろんだが。
もっとも今のネット上の諸犯罪と振り込め詐偽の話はちょっと違うかもしれない。後者の被害者はまさに無防備のお年寄りなどが中心だが、ネットの場合、仮に同じお年寄りでもパソコンやインターネットを操れるいわゆるリテラシイの高い人達であるはずだ。
IDパスワードの管理位もっと注意してやれるはずだ。そのためにも、どうしてそのこと自体がそんなに大切なのか、重要なのか、一層の情報リテラレイシイ、パソコンリテラシーの向上こそが望まれているのではないだろうか。
高額のセキュリティソフトを入れて一安心、終わりではないのだ。そんなことより、日々のパソコン、ネットワークの作業の中で、ログイン、ログアウト、ソフトのダウンロード、メールへのアクセスなどについて、その一瞬々々の注意、ある意味緊張感をもって望むべきことを今一度お互い確認しておきたいものである。
tad
関係記事:
「パスワード再設定」日経新聞 3月5日
0 件のコメント:
コメントを投稿