実際問題、セキュリティよりビジネスの方が重要でしょう

日記

docomo IDを作ると初期パスワードが発行されるが、これは各自、愛用のパスワードに変更して使えるようになっている。それなのに、「ID/パスワードをお忘れの方」の説明を見ると、パスワードを忘れたときは、携帯電話で現在のパスワードを閲覧できるのだという。
(中略)
ドコモの技術者たちは何をやっているのか。技術のわからない企画屋に言われるがままに、くちごたえすることもなくただただ従順に作業するしか能のない人たちばかりなの? 同じ結果をより正しい方法で実現する術を示すのが技術者の仕事。作り方まで企画屋の言いなりになるなら、何のための技術者か。
docomo IDを作ると生でパスワードを保管されてしまう(高木浩光@自宅の日記)

この、docomo IDに関する記事を読んで思ったことを書いてみる。

まず、第一に思ったのは、docomoの技術者だって、パスワードを可逆保存しておくことに対するリスクぐらい知っているだろうと言うことだ。そして、リスクについて上に報告もしているだろう。

高木氏は
「巨大企業であるdocomoでさえも、セキュリティに関しては素人な技術者ばかりだ。だから、自分のようにセキュリティに対して物申せる人間が必要なんだ」
というような演出をしたいがためにこのような物言いをしているのだろうが、実際docomoの技術者がそんな馬鹿者だとは思えないし、技術者ではない企画の人間だって、ちゃんとセキュリティに関してはわかっているはずだろうと想像できる。だってdocomoだよ?エンドユーザからセキュリティに関する問い合わせくらい一杯来るでしょ。

それに、パスワードを可逆保存しておいて比較するなんて、決して効率的とは思えない。だって、今時その辺に落ちているライブラリだって、認証するだけなら不可逆パスワードを保存しとくでしょう。確認したわけじゃないけど。

そんな中、なぜパスワードを生(or 可逆変換)で保存しているか?それは、「エンドユーザの要求があるから」に違いない。

そもそも、パスワードを生で保存している事に対するリスクとしては、以下の2つが代表的だと思われる。

  • 万が一データが漏洩したら、パスワードも漏れて大変。しかも凄いイメージダウンする
  • 盗聴されたらその人のパスワードがわかってしまう

これらは、発生頻度は結構低いと思われる上、情報管理の徹底などで頑張ればリスクを軽減できると思われる。または、最終的には開発会社に全てを押し付けると言う巨大企業docomoならではの禁じ手もあるだろう。

一方、パスワードを生で保存しないことに対しては、以下のようなリスクがあるだろう。

  • 一般の人から「パスワード忘れたから教えて」と言われた時に対応できないため、怒られる
    • それによって、ブログなどに悪い評判を書かれる。
  • 一般の人はすぐパスワードを忘れるため、毎回変更してたら運用のコストが増える
    • しかも毎回変えさせられたユーザは怒り、悪評が立つ
  • 一般の人は高木氏のブログなど見ない、セキュリティ意識の低い人であるため、他の人が立てた悪評を真に受ける

これらの理由から、エンドユーザのサポートを行う人達(システム運用の担当者)からは、パスワードをユーザが見られるようにしておいて欲しいと言う強いプッシュが来るだろう。しかも、要求自体はそもそもエンドユーザの意見を反映している(問い合わせが多いなど)ため、適当にあしらうことも出来ない。

で、両者を天秤にかけた時、ユーザからの問い合わせに対応する事(パスワードを見られるようにすること)の方がより重要であり、その実現のためには、パスワード漏洩と言うリスクは受け入れようと言う判断が下されたと思われる。つまり、技術的に見ればパスワードを生で保存するなど絶対やってはいけない事だが、サービスを運用すると言う点から見れば、ユーザの要望に応える為に生パスワードの保存は必須であると思われるのだ。

同じ結果をより正しい方法で実現する術を示すのが技術者の仕事。

である事は勿論docomoの技術者もわかっているが、そもそも求められる結果が「ユーザが自分のパスワードを確認できる事」なのだから、どれだけハイレベルな仕事をしても不可逆パスワードだけ保存しておくと言う選択肢はない。多分、ネットワークを頑強にして守るとか、色々見えない努力をしているんだろう。

ちなみに、この場合パスワードはハッシュ値にしたものと、生パスワードの両者を持っていると思われる(不可逆の方が比較しやすいから)。生パスワードは「見せる用」だ。
「生パスワードはパンツじゃないから恥ずかしくないもん」だ。

docomoの技術者は無能か?

ちなみに、

くちごたえすることもなくただただ従順に作業するしか能のない人たち

は、docomoの開発現場にも意外と多いと思う。と言うか、恐らくdocomoレベルの巨大企業で、しかもNTTという超巨大グループに属する会社であれば、docomo自身には、そんなパスワードの保管方法まで気にするような、下流の人は、いないだろうと思われるからだ(勿論通常なら不可逆で位は指定するだろうが、それがどんな方法かは気にしないという意味)。で、実際に作業をする人達はと言えば、そもそもdocomoですらなく、下請け、孫請け、ひ孫請けであってもおかしくない。実際に作業するのはdocomoの技術者ではないので、docomoに対して口答えなど出来ようもない(というかそもそもそんな窓口がないのではないだろうか)。そんな人達に向かってブログで幾ら無能だの何だのと毒を吐いても、はっきり言って無駄無駄無駄である。意味がない。勿論最上流にはdocomoの技術者もいるのだろうが、そういった人達は既に手段を講じていて、その上でパスワード表示機能を付けると言う判断になったのだから、仕方ない。

じゃあ、どうすればよいか

そもそも、高木氏は技術者向けっぽいUIのブログに、技術用語満載で記事を書いて、叩く相手も技術者と、相手をするのは技術者だけなのだろうと感じ取れる。しかし、それでは意味がないと思う。なぜなら、最終的にシステムの動作を決めるのはエンドユーザなのだ。エンドユーザの多くがパスワードを見られるようにしてくれと言ってくれば、それはもう見られるようにするしかない。見られるようにした上で、パスワード漏洩のリスクをなるべく軽減するなり、他に転嫁するなりするしかないのだ。
リスクとは回避するだけでなく、軽減、転嫁、受容と言う選択肢もあるとPMBOKにもある。

では、どうすれば高木氏の理想とする、不可逆パスワードのみの保存が実現できるか?簡単だ。一般の人達、全ての人達が、パスワード見られるなんて有り得ない、こんな機能は今すぐ外せという問い合わせをdocomoにするようになればいい。それだけのセキュリティ意識を、全ての人たちに持たせればよいのだ。

タモリさんが笑っていいともで「最近髪形変えた?」と同等のノリで、「最近パスワード変えてる?」とかゲストに聞くくらい、一般に広まれば理想的だろう。少なくとも、Amebaの芸能人ブロガー達が、可逆パスワードなんてありえないよねーとか、高木氏と同じ事を言い出して欲しいところだ。

つまり、高木氏は技術者だけを相手に毒を吐く、ネット弁慶みたいな真似をせず、今すぐ世の中に出てセキュリティの重要性を訴えるべきだろう。勿論、一般の人は強い説教口調、見下し論調ではすぐ反発してくる事が容易に想像できるので、伝え方を変える必要がある。しかし高名な高木氏ならば、そんな事は簡単であると信じている。

さあ高木さん、パソコンを捨てて街へ出よう!




















・・・



とは言ったものの、そもそもパスワードと言う文化が古い。

  • 「パスワードは英数字だけでなく、記号を2文字以上入れた全部で10文字以上のランダムで分かり辛い文字列にして下さい」
  • 「漏洩時の2次被害を防ぐため、サイトごとに異なるパスワードを使用してください」
  • 「なりすましを防ぐため、パスワードは紙に印刷したり付箋にメモしたり、テキストとして保存したりせず、自分で記憶しておいてください」

など、はっきり言って現代文化の真逆を行く不便発想で、使う側からしたら有り得ないだろう。そんな事をしなくても、ちゃんと安全にWebサイトにアクセスできる、そんな仕組みこそが求められているのではないだろうか。生パスワードを保存してるとかしてないとか、そんなこまけぇことはいいんだよ!