「そうだね!」と思えるような記事です。
「数字や記号を組み合わせたパスワードを使いましょう」「定期的にパスワードを変更しましょう」「紙にパスワードを書いて管理することはやめましょう」などのセキュリティポリシーを目にしたことがあるかと思います。以前から繰り返し使われてきた方針で、みなさん守ってくださいね、というだけならばともかく、パスワードの有効期限を設定されたり、パスワード設定時に注意されたり、システム上に実装されている場合もあります。
これらの古い習慣について、最新のセキュリティポリシーでは「正しいとはいえない」という判断が示されています。しかも、情報ソースは内閣サイバーセキュリティセンターやアメリカ国立標準技術研究所といった公的機関です。
内閣サイバーセキュリティセンター(NISC)はインターネットの安全・安心ハンドブックというものを公開しており、インターネットにおけるセキュリティがとても詳しく説明されています。セキュリティに関心の薄い一般の方が理解できるような内容を軽く超えているような気もしますが、とても詳しく(本当に詳しく)説明されていますので、一読の価値はあると思います。
ちょっと話は逸れますが、メディアなどを見ていると「政府は何もしていない」などなど、政府を好き放題に批判しているコメントを見かけますが、いやいや、見えないところ(コメントをする方々が見ていないところ)では良い仕事をしていますよ、と感じています。このハンドブックに書かれている内容はとても詳しいもので、専門書として出版しても良いくらいのレベルだと思います。それほどのものを公的サービスとしているのですから、実に素晴らしいことだと思います。
さて、セキュリティポリシーは時代と共に変わっていきます。いずれ、パスワードを設定することはリスクに直結する、など、これまでの常識がひっくり返るようなことが起こるかもしれませんし、起こっても何も不思議はありません。
コンピューター、特にインターネットを使った生活というものは、ここ数十年で急激に発達してきたもので、まだ知識や経験の蓄積が繰り返されている段階です。これまでの知識を使い続けることが正しいとは限らず、場合によっては、危険を招くこともあります。そのため、常に新しい情報を取り入れなければならない分野だといえます。
これから情報システムを導入するような場合は、上記のハンドブックなどを参照して、危険の少ない堅牢なシステムを構築するようにしましょう。