表現の自由を犯している「秘密の質問」という仕組み

ぜひシェア願います!
Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
Linkedin

【これは約 4 分の記事です】

ツイッターで秘密の質問についてつぶやいたら、反響がありました。その時のつぶやきはこちら。

もうちょっと自分の思っていることを膨らませて今回ブログを書いてみました。

「秘密の質問」とは、認証が必要なシステムで、その質問に対して本人しか答えられないはずの答えを求める機能です。

どんな仕組みか、そしてその安全面での不備はIPAのページを見ていただいたほうが良いと思います。

2015年7月の呼びかけ
「 その秘密の質問の答えは第三者に推測されてしまうかもしれません 」

例えばこんな質問があります。

  • 好きな映画のタイトルは?
  • 母方の旧姓は?
  • 小学校の時の担任の先生の名前は?

この秘密の質問、例えばパスワードを忘れた利用者がパスワードをリセットするときに本人を確定するために使われる機能ですが、

ラスボスが倒せないから代わりに弱いスライムを攻めてゲームがクリア出来てしまう

といって過言でないレベルで、セキュリティ的にはむしろ穴になります。

未だに秘密の質問だけでパスワードを解除できたり、クレジットカードを無効にできたりするなら、そのシステムを構築したり運用している会社はバカとしか言いようがありません。

さすがに最近では秘密の質問だけでなく二段階認証などの他の方法も併用してパスワードをリセットするのが普通になりつつありますが、秘密の質問、ある方が実害が大きすぎます。

秘密の質問がどれだけ安全面で無意味かは先程のページの他にも、こういうページをご覧ください。

「秘密の質問」はセキュリティ対策として(やっぱり)役立たずであるらしい

秘密の質問が役立たずなのは少し考えればわかることなので、ここではそれほど触れません。

私が問題視するのは、

秘密の質問が表現の自由を奪っている

ということです。

表現の自由は、憲法第21条で保証されている権利です。

日本国憲法第21条

集会、結社及び言論、出版その他一切の表現の自由は、これを保障する。

ところが、秘密の質問で「好きな映画のタイトルは?」が求められている時、私は好きな映画について日常生活で表現することができなくなります。

秘密の質問を知られてしまうと、私はアクセスコントロールを怠ったことになります。アクセスコントロールを怠って不正アクセスされた場合、利用者は100%は保護されなくなります。

秘密の質問は、自分で設定できたり、幾つかから選べる場合もありますが、サービス側から強制される場合もあります。つまり、表現の自由を強制的に制約されているのです。

この秘密の質問をうまく使うと、利用者の言論の自由を奪うことができてしまいます。

さすがに現実問題として「好きな映画のタイトルは?」と聞かれているからといって、そのとおりに映画のタイトルをストレートに入れませんが、全く無関係なフレーズというわけでもありませんし、無関係なフレーズを入れて良いのであれば、実質的にパスワードを二つ入れるのと同じ。メインのパスワードを忘れて、サブパスワードに該当する無関係なフレーズの方を覚えている、という方がむしろありえません。

  • セキュリティ的な安全性は全く無い
  • 運用コストや負荷が増大
  • 表現の自由を奪う

と何一つメリットのない秘密の質問、とっととなくなってほしいものです。

ぜひシェア願います!
Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
Linkedin