つかびーの技術日記

(情報)工学修士, 元SIer SE, 現Web系 SEの技術blogです。Scala, Java, JS, TS, Python, Ruby, AWS, GCPあたりが好きです。

社内向けシステムのパスワードの扱い(実情)

      2013/09/15

セキュリティは重要だけど、機能じゃない。だから軽視されている。個人的にそういうイメージ・感覚を持っています。実際のところ、日本の社内向けのシステムのパスワードの扱いは80~90%くらいのシステムがずさんになっていると思います。

なぜそう思うかの理由は以下です。

  1. 顧客(システム開発発注側)がITに疎いため。
  2. システムの要件を決定する(この場合パスワードの扱い)マネージャクラスの技術者がパスワードについて疎いため。
  3. IT業界全体的に金欠なので色々削らなくちゃいけない要素にパスワードが入っている。
  4. 社内システムだからパスワード管理とかどうでもいいよね、的な認識が蔓延している。
  5. 実際に数年いくつかのプロジェクトに携わって、適切に設計されている例(例えばハッシュ化されている)を見たことが無い。

こんな感じ。

1は「顧客と言えどIT部門が顧客だし」とか「最近の顧客は馬鹿じゃない」とかの意見もあるかと思うけど、セキュリティに関してはてんでダメだと思います。1回「パスワードはちゃんとハッシュ化して管理してね」という顧客に会ったことがありますが、結局ハッシュ化は政治的な問題から行われませんでした。そしてハッシュ化と言ってもソルトやストレッチングまで考慮することがないという・・・。レインボーテーブルとか多分知らない。

自分は納得行ってなくて、どんなシステムだろうとパスワードはちゃんとソルト付きでハッシュ化、場合によってはストレッチングした方が良いと思っています。社内にパスワード覗いてやろう、みたいな不良社員が居るかもしれないし、クラッカーにLANに侵入されてパスワード一網打尽にされるかもしれない。社内用システムが社外からもアクセスできるようになっていて、SQLインジェクションでパスワードぶっこぬかれるかもしれない。

もっとちゃんとしたシステム作りがしたいです。

 - セキュリティ