「そのセキュリティ対策、オレは例外にしてくれない？」と言われても……：宮田健の「セキュリティの道も一歩から」（80）（1/2 ページ）

「モノづくりに携わる人」だからこそ、もう無関心ではいられない情報セキュリティ対策の話。でも堅苦しい内容はちょっと苦手……という方に向けて、今日から使えるセキュリティ雑学・ネタをお届け！ 今回は熊本県立大学で発生したインシデントから、セキュリティ向上に協力してくれない人がいる際のセキュリティ対策を考察します。

[宮田健，TechFactory]

本記事は「TechFactory」に掲載された会員限定コンテンツをMONOist向けに再編集した転載記事となります。［全文を読む］には、会員登録（無料） およびログインが必要になります。

　もはや「パスワード」はセキュリティ強化に何も寄与しない、くらいに思った方が良い時代が来たのかもしれません。漏えいしたパスワードをまとめている「Have I Been Pwned:」（私は取られてしまっている？ というような意味）では収集されたパスワードの数を表示していますが、本稿執筆時点では640のサイトから、実に119億9388万5917のアカウントが漏えいしていることが確認されています。あなたのアカウントも既にどこかで漏れているかもしれません。パスワードそのものを確認するのは少々リスクがあるので、あなたのIDであるメールアドレスを入力してみてください。身をもってその現状を知ることができるはずです。パスワードを使い回していた場合、そのパスワードはもはや「公開情報」と考えても良いのかもしれません。

図1　“Pwned”とは、「取られた」を意味するスラング。スクロールしていくとこれまでそのメールアドレスで漏えいしたサービス一覧も表示される

Have I Been Pwned: Check if your email has been compromised in a data breach

　そのため、いま多くのサービスでは「二要素認証」と呼ばれる、パスワードだけに頼らない認証方法が多く利用されています。特に組織においてはもはや必須。これがあれば、パスワードという記憶に頼る（そして漏えいしている）情報だけでなく、その人しか持っていないモノを確認する所持情報を合わせてチェックでき、より厳格な本人認証が行えます。例えばこれは、「鍵を持っているか」「印鑑を持っているか」「免許証などの書類を持っているか」というものに近いでしょう。

特別扱いした結果……