いまさら感のある記事だが,あらためて目を通した
Adams, A. and Sasse, M. A. 1999.
Users are not the enemy.
Commun. ACM 42, 12 (Dec. 1999), 40-46.
DOI= http://doi.acm.org/10.1145/322796.322806
10年前の記事なのだが、今でも問題は改善されていないパスワード認証の事実について述べている
以下は内容のメモ書き
- Crackerの能力は、大抵の場合、ユーザの想定以上である
- システムが提供するパスワード <=> ユーザが決めるパスワード
-- 記憶可能性に重点を置くか、それとも書き留めてもいいから安全なパスワードか...
- FIPS(文献 5)はパスワードセキュリティに関するいくつかの要件を提示している
-- パスワード生成術、パスワードの有効期間、パスワードの所有法など
- パスワードは一人一つの方が良い: 理由は 1) 個々人の活動が記録される、2) 悪用が減る、3) 監査証跡が残せる、4) グループで所有することによる頻繁なパスワード変更が回避できる(?)
- 多くのパスワードが、上記のような必要要件を満たしていない証拠はいくつかある
- 文献 1では、パスワードは一度決定されると、誰かにそれが見破られるまで変えようとしない.という調査結果
- 文献 2では、ユーザは可能な限り少ない文字種でパスワードを作成しようとする.という調査結果
- こういった調査結果は大体において納得できるものであり、ユーザは生来、軽率になりがちである.そしてそれは変えていかなければならない
* The Study
- Webアンケートでユーザにパスワードシステムに関するインタビューをした
-- パスワードの作成法,利用頻度,パスワードの想起や維持,特に記憶維持について
- 139人の回答を得た,うち半数は組織A(技術系会社)
- ...
- 解析には"Grounded Theory"(文献10)を用いた
- パスワードシステムの利用には4つの要素が影響していることがわかった
-- 1. 複数個のパスワード
-- 2. パスワードの内容
-- 3. 仕事内容との整合性
-- 4. ユーザの組織におけるセキュリティと情報への敏感さの認知度
- ユーザは複数のパスワードを記憶し,違うパスワードを利用し,そして定期的にパスワードを変更することに苦しめられており,50%の被験者がパスワードを書き留めていると回答しいる
- 50%の被験者は,複数のパスワードの間に共通部分があると回答 (name1, name2, name3...など).これは記憶可能性を担保するために,ユーザがあみ出した工夫
- が,こういった方法も,記憶可能性を改善するどころか,むしろ減じる方向に作用してしまう(within-list interference)
- どうしたら安全なパスワードを作成できるかに関するユーザの知識も不十分.expertによる指導なしに,自身の知識だけでパスワードを作成することは危険
- ほとんどのユーザは,どのようにしてパスワードがクラッキングされるかを知らない
- 一方で,パスワード作成に一定の制約を加えると,記憶できないパスワードを使用せざるを得ず,結果としてパスワードを書き留めるなどして,他人に知られる可能性が高くなる
- 多くのユーザは,こういったパスワードに関する制約を迂回する方法を持っている,そしてそれは結果としてセキュリティを低下させる
- 作業方法との整合性が重要.
- ある組織Aでは,グループ作業に関わる個々人にパスワードが配布されていたが,それが作業の実体に合っていない,だから共有パスワードにすべきだと不平を言っていた.
- このユーザの不平は,監査記録を取られることに起因しているのではなく,第三者が自分のパスワードを利用して何かの作業をし,そしてそれについて問題が発生した時に,自分が叱責される可能性があるからだ,と述べていた.
- ユーザはセキュリティ問題についてきちんと知らされていない,だから自分で勝手に問題モデルをつくってしまう,が,それも大抵の場合間違っている.
- セキュリティはその実体が見えないのが問題! - lack of awarenessがこういった問題を生んでいる
- よって利用しているシステムに対するセキュリティの重要性認知が,システムによってまちまちである: あるシステムについては「これはセキュリティは重要」だと思う一方で「このシステムは...別にそれほど重要ではない」と考える傾向がある
- ユーザは自分に関する情報は機密扱いだと思う傾向にあるが,会社の業務に関する情報は機密扱いだと思わない傾向にある
- あるユーザは,紙ベースの資料のようにその情報がどの程度の機密情報なのかを,スタンプ"例) Confidential"で示して欲しいと言っていた
- パスワードの利用に関する2つの問題
- system factors: それは迂回せざるを得ない! とユーザが感じるか?
- external factors: 作業手順との整合性が取れているか?
- これらはどちらも,セキュリティ部門とユーザ間のコミュニケーション不足に起因
-- 結果としてお互いのニーズや要望を理解できず,互いに敵視する結果になる
* Users Lack Security Knowledge
- もともとパスワードシステムは軍隊の need-to-know原則 から来ている
- それは,セキュリティシステムを知れば知るほど,攻撃も簡単になる.という仮定に基づく
- ユーザのセキュリティを害する振る舞いの根幹には,パスワードシステムに関する不適切な知識がある
- cracking programを応用し,パスワード生成に対するfeedbackをを用意し.またMonthly reportとしてパスワードシステムへの脅威をユーザに通知することも検討し始めた
- Smart cardや生体情報をIDとすることで,利用者のmental loadの軽減を試みた
-
* Security Needs User-Centered Design
- ユーザとのコミュニケーション不足が,User-Centered Designの欠如につながっている.
- これらの仕組みは,そのほとんどが作業におけるoverheadである.だから,ユーザがパスワードシステムを迂回しようとすることはまったくもって驚くに値しない
- ユーザに多くのパスワードを維持させるのは無理,組織内のパスワードシステムを削減するよう努力すべきではないか?
- 頻繁にパスワードを更新させるのも,かえってセキュリティ低下を招くばかりか,ユーザのセキュリティに対するモチベーションまで低下させかねない
- 結果として,組織Aはパスワードならびにその他のセキュリティシステムについてもuser-centered designに取り組まざるを得なくなる
* Motivating Users
- 軍隊ではうまく機能しても,一般環境でうまく機能する仕組みはあまりない
- チームワークや責任共有と言う意味でユーザを動機付けできることが重要であり,そのためには信用や情報共有が必要となる
- セキュリティ部門がユーザとコミュニケーションを取ることが重要 - これはFIPS(文献 5)でも推奨されている
- FIPS 5では,グループ作業で共有パスワードは危険だとしている,しかし,共有パスワードを使用することで,利用者はチームとして共同作業をしており,責任を共有しているということを認識する.これはSecurityについても良い効果を生む可能性がある
- これは重要な一文だと思う: It is important to challenge the view that users are never motivated to behave in a secure manner.
- ユーザはそれを実行する必要がある認識しているかぎり,セキュリティを重要だと考えている.と答えている.
- 2つの要素が,安全な作業習慣の形成/動機付けを妨げている
- a) ユーザのセキュリティ脅威に関する気づき要素の欠如
- b) セキュリティ部門のユーザに対する知識の不足
- これらが,セキュリティ部門の人がが "ユーザなんてSecurityを気にしていない"と思い込ませ,結果としてより強力なセキュリティシステムを導入し,そしてユーザに更なる困難な作業を強いることにつながっている
- セキュリティ部門とユーザのコミュニケーションは大抵の場合,してはいけないことをしてしまったユーザをたしなめる場面に限定されている
- ユーザは敵ではなく,安全なシステムの実現に努力する仲間としてみなければならない
- これまた身につまされる一文: System security is one of the last areas in IT in which user-centered design and user training are not regarded as essential - this has to change.
* Users and Password Behavior
- 安全でない作業実態やsecurityへの動機の低さは,情報セキュリティにおけるさまざまな研究において解決されるべき問題として確認されている(文献 2,3,6,7)
- しかし,その実現方法は教育と罰則によるものばかり
- 人間の心理はそんな簡単なものではない.
- (以下の訳に対応する最後の段落は,是非原文を読んで頂きたい)
- 安全でない作業環境や,ユーザにおけるSecurityへの動機の低さはユーザの作業環境や組織の戦略,そして利便性への配慮を欠いたセキュリティシステムやポリシーに起因している.
- これらの要素は,今日のコンピュータシステムの設計と実装において最も重要な要素である.
- セキュリティシステムの設計者はそれらが成功するセキュリティシステムのキーであることを認識すべきだ.
- セキュリティ部門は,どのように設計された仕組みが現実に利用されるかを理解しない限り,論文上は安全そうに見えるが現実的には成功しないであろう危険な仕組みをそのまま放置することになるだろう.
うーむ,結構時間の経っている記事ではありますが,当方にとってはタイトルに負けないいい内容でした.