情報セキュリティの基礎

パスワード

教育用コンピュータシステムの端末にログオンする時には、 皆さんアカウント名とパスワードを入力しています。 そもそもこの「アカウント名」と「パスワード」とはなんでしょうか。

自宅などでパソコンを使っている方は、 特にアカウント名とパスワードを設定せずに使っている場合もあるかもしれません。 特に自分一人で使っている場合はそうだと思います。

しかし、教育用コンピュータシステムの端末のように複数の人で一緒に使う場合は、 アカウント名とパスワードを設定する必要があります。 そのようにしないと、 自分のファイルや自分のメールを誰でも自由に見ることができるようになってしまいます。

さらに、教育用コンピュータシステムの端末を使う時以外にもパスワードは使われます。 例えば、自宅などでプロバイダを経由してインターネットに接続する場合、 プロバイダから送られてきたアカウント名／パスワードを使って接続する必要があります。 また、プロバイダの POP サーバに届いたメールを受信する時などにもパスワードが必要になります。 他にもインターネットの通販サイトなどでも、パスワードを使っています。 皆さんも、様々なパスワードを持っていると思います。

では、このようなパスワードを決めるためには、どのようにすればいいでしょうか。 注意点としては、以下のことが挙げられます。

• パスワードを紙にメモしたりしない。
• 「弱いパスワード」を使わない
• アカウント名と同じパスワード
• 自分の誕生日
• 意味のある英単語、など
• 「強いパスワード」を使う
• 自分が覚えやすくて他人は推測しにくいもの
• 長さは一定文字以上にする
• 英数字だけではなく、記号なども含める
• 「強いパスワード」の一般的なルール
• 8文字以上
• アルファベットの「小文字」「大文字」「数字」「記号」の4種類のうち、 3種類以上使用する
• パスワードは定期的に変更する。

また、システムにもよりますが、 基本的にはパスワードはシステム上、暗号化されて保存されています。 ですので、パスワードを忘れてしまったら、そのシステムの管理者でも調べることはできません。 その場合には、パスワードを再設定する必要があります。 パスワードは忘れないようにしましょう。

生体認証 (バイオメトリクス認証)

現在、このパスワードのシステムに置き換わるものとして、 生体認証（バイオメトリクス認証）というものが使われ始めています。 これは、指紋や手の平の静脈のパターン、瞳の中の虹彩(黒眼の部分)の模様など、 その人間が固有に持っていて、他の人とは決して同じにはならない生体情報を使って認証を行うものです。

実際、パソコンにも指紋認証の装置が付いていることがありますし、 銀行の認証システムに使われることもあります。

このような生体認証を利用できれば、絶対に安全かと思えるかも知れません。 しかし、それは必ずしもそうではなく、生体認証にも以下のような欠点があると言われています。

• 認証装置を扱う人間の状態がいつも同じとは限りません。 例えば、指の置き方によっては、指紋の見え方も異なります。 ですので、登録された情報と似ているかどうかで識別を行っています。 そのため、間違いなく本人なのに認識できないということが起こり得ます。
• 怪我などをして生体情報が変わってしまう可能性もあります。
• 万が一、生体情報が他者にもれてしまっても、変更することができません。 パスワードは、もれてしまっても変更することができます。
• 実際に、強盗に指を盗まれたという事件もありました。 Malaysia car thieves steal finger (BBC)

システムの脆弱性

システムの脆弱性とは、 コンピュータ上のシステムの問題点の中で、 特に悪意を持った人間が利用するとシステムの問題を引き起こしてしまうものです。 場合によっては、ネットワーク上の他のコンピュータにも影響を及ぼしてしまうこともあります。 これは、主に、システムのソフトウェアの設計上の問題に起因するもので、 「セキュリティホール」とも呼ばれます。 このセキュリティホールが発見された場合は、 ソフトウェアの開発元から修正プログラムやそのソフトウェアの新しいバージョンが配布されます。 個人でパソコンを使う場合でも、ソフトウェアのセキュリティホールの情報には注意する必要があります。

OS やアプリケーションによっては、インターネットにつながっていさえすれば、 自動的に修正プログラムをダウンロードしてインストールすることができるようになっています。 この端末室パソコンのOSであるWindows 11 の場合は、「Windows Update」というアプリケーションによって、修正プログラムが自動的にインストールされます。 また、アプリケーションの例としては、Norton AntiVirus などで使われている「Live Update」を挙げておきます。 これによって、ウイルス定義ファイルだけではなく、アプリケーション自体も最新のものに更新できます。

［図1］Microsoft Update（Windows10 の場合）

［図2］Live Update

さらに、MacOS X の場合は、「ソフトウェア・アップデート」を利用します。

［図3］ソフトウェア・アップデート

• Windowsの更新
• Mac OS X：ソフトウェアをアップデートする（Apple 社）

上記以外にも、普段皆さんが使っているアプリケーションでも、 セキュリティアップデートが出ていないか、 開発元のホームページを見るなどして定期的に確認するようにしましょう。 また、セキュリティの情報に関しては、 京都大学情報環境機構 の「セキュリティ情報」にも掲載されていますので、参考にして下さい。

セキュリティホールの具体例

2005年の年末に Windows で使われる WMF（Windows Meta File）という画像形式に関する脆弱性が発見されました。 この脆弱性は、悪意を持った人物が用意したファイルを閲覧してしまうと、 WMF に埋め込まれた任意のコードが実行されてしまうというものでした。 問題の WMF はメールで送られたり、Web ページに埋め込まれたりしていました。

これは、Windows の脆弱性の問題だったのですが、 Windows のセキュリティアップデートが出る前に問題のファイルが出回ってしまったので、 それなりに大きな被害が出たようです。

この例のように問題が発見されてから、 セキュリティアップデートが提供されるまで時間がかかってしまうことがあります。 このようなこともありますので、私達は常にセキュリティの情報に注意を払う必要があります。

• Microsoft Security Bulletin MS06-001 : Graphics Rendering Engine の脆弱性により コードが実行される可能性がある (912919) (Microsoft 社)
• セキュリティホール memo
• 休暇中のWebアクセスには注意、Windowsに新たな未パッチの脆弱性（ITmedia）

「著作権に注意」に進む

「今回の授業のトップ」に戻る　／　「授業のホーム」に戻る