【これは約 4 分の記事です】
ツイッターで秘密の質問についてつぶやいたら、反響がありました。その時のつぶやきはこちら。
秘密の質問というバカな仕組みがあるせいで、好きな映画のタイトルも、母方の旧姓も、出身小学校のことも話さなくなった。 https://t.co/O8yIwzPIMc
— まるおかディジタル (@maruoka_digital) 2016, 2月 3
もうちょっと自分の思っていることを膨らませて今回ブログを書いてみました。
「秘密の質問」とは、認証が必要なシステムで、その質問に対して本人しか答えられないはずの答えを求める機能です。
どんな仕組みか、そしてその安全面での不備はIPAのページを見ていただいたほうが良いと思います。
2015年7月の呼びかけ
「 その秘密の質問の答えは第三者に推測されてしまうかもしれません 」
例えばこんな質問があります。
- 好きな映画のタイトルは?
- 母方の旧姓は?
- 小学校の時の担任の先生の名前は?
この秘密の質問、例えばパスワードを忘れた利用者がパスワードをリセットするときに本人を確定するために使われる機能ですが、
ラスボスが倒せないから代わりに弱いスライムを攻めてゲームがクリア出来てしまう
といって過言でないレベルで、セキュリティ的にはむしろ穴になります。
未だに秘密の質問だけでパスワードを解除できたり、クレジットカードを無効にできたりするなら、そのシステムを構築したり運用している会社はバカとしか言いようがありません。
さすがに最近では秘密の質問だけでなく二段階認証などの他の方法も併用してパスワードをリセットするのが普通になりつつありますが、秘密の質問、ある方が実害が大きすぎます。
秘密の質問がどれだけ安全面で無意味かは先程のページの他にも、こういうページをご覧ください。
「秘密の質問」はセキュリティ対策として(やっぱり)役立たずであるらしい
秘密の質問が役立たずなのは少し考えればわかることなので、ここではそれほど触れません。
私が問題視するのは、
秘密の質問が表現の自由を奪っている
ということです。
表現の自由は、憲法第21条で保証されている権利です。
集会、結社及び言論、出版その他一切の表現の自由は、これを保障する。
ところが、秘密の質問で「好きな映画のタイトルは?」が求められている時、私は好きな映画について日常生活で表現することができなくなります。
秘密の質問を知られてしまうと、私はアクセスコントロールを怠ったことになります。アクセスコントロールを怠って不正アクセスされた場合、利用者は100%は保護されなくなります。
秘密の質問は、自分で設定できたり、幾つかから選べる場合もありますが、サービス側から強制される場合もあります。つまり、表現の自由を強制的に制約されているのです。
この秘密の質問をうまく使うと、利用者の言論の自由を奪うことができてしまいます。
さすがに現実問題として「好きな映画のタイトルは?」と聞かれているからといって、そのとおりに映画のタイトルをストレートに入れませんが、全く無関係なフレーズというわけでもありませんし、無関係なフレーズを入れて良いのであれば、実質的にパスワードを二つ入れるのと同じ。メインのパスワードを忘れて、サブパスワードに該当する無関係なフレーズの方を覚えている、という方がむしろありえません。
- セキュリティ的な安全性は全く無い
- 運用コストや負荷が増大
- 表現の自由を奪う
と何一つメリットのない秘密の質問、とっととなくなってほしいものです。
防災SNSアドバイザー。情報処理安全確保支援士第5338号。ネットワークスペシャリスト。ITコーディネータ
東北大学大学情報科学研究科第2期生。1994年からインターネットに携わる。システムベンダーの総務社内SEとして、社内システムの構築運用やBCP策定、従業員教育に関与。2015年情報セキュリティ専門法人「まるおかディジタル株式会社」を福井県坂井市丸岡町に設立し現在に至る。研修では基本的に防災のお話以外では着物でお話させていただいております。
情報セキュリティ・IT関連資格取得・企業防災(BCP)の組織内教育・コンサルティング・支援・取材のお問い合わせなどございましたら、こちらからご連絡ください。
メール・お電話・FAX・Facebook
https://www.maruoka-digital.jp/contact/form/