短い複雑なパスワードを使用する代わりに長いパスフレーズの使用を検討してください。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、冒頭にある『パスワード』の話はこのブログでも何度か取り上げてきました。

では、『パスワード』の設定は何が望ましいのでしょうか？

FBIが勧めるパスワード設定

FBI（米連邦捜査局）が勧告している『パスワード』設定の根拠はNIST（米国立標準技術研究所）のガイドラインのようですが、それには大文字、小文字、または特殊文字（記号）を必要とせず、15文字以上の長いパスワード（パスフレーズ）を推奨するとされています。

これは、大文字、小文字、数字、特殊文字（記号）を使った『短いパスワード』よりはそうではない『長いパスフレーズ』の方が解読されにくいことを意味しているように思えます。

『パスワード』を複雑にし過ぎてしまうと『覚えにくい＝忘れてしまう』ということも多々あるため、覚えられる『パスフレーズ』を使った15文字以上の長い文字列を推奨しているのでしょう。

ただし、大文字、小文字、または特殊文字（記号）を使うなということではありません。

確率的に言えばそれらを混在させた方が良いとは言えます。

結果的に自分流の『法則』を作ってしまえば良いです。

FBI（米連邦捜査局）のサイトには以下のような例がありました。

『VoicesProtected2020WeAre』、『DirectorMonthLearnTruck』

このような例に加えて特殊文字（記号）を含めた『パスフレーズ』を作れば良いです。

ワードとワードの間に何かしらの特殊文字（記号）を入れるルールを自分で決めておけば良いです。

例えば、『Voices.Protected–2020@WeAre』といった感じに。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨今のサイバー情勢においてパスワードに『123456』を使っているのであれば情報漏えいしてもやむを得ないと思いますが、逆に、情報漏えいしにくいパスワードを設定している人達はどのようなパスワードを設定しているのでしょうか？

米国ホワイトハッカーのパスワード

パスワードは12桁程度の文字数では10分程度で解読されてしまうと言われていますが、米国のホワイトハッカー達はその2倍程度のパスワードを設定しているとされています。

そして、この覚えられないくらい長さのパスワードは米国の政府職員においても行われていると言います。

彼らは『パスワード』を『パスワード』ではなく『パスフレーズ』としてパスワード設定を行っているとされており、『フレーズ化』されたものであればある程度長くても自分の決めたルールであれば普通に思い出せるということです。

これ、米国のホワイトハッカーの間では23桁以上の文字数であれば良いと言われているようで、『パスワード』を『フレーズ化』した『パスフレーズ』にして運用しているようです。

もちろん、いくつもそういった『パスフレーズ』を作っているわけではなく、利用するサービスごとに一定のルールを付与して運用しているようです。

この方法は日本語をローマ字にした場合にはさらに強固になり得ます。

英語で『TheFirstDogIsJohn』というパスワードを日本語でローマ字にした場合、『1BanmenoInuhaJohnDesu』といった感じになります。

『いち』という部分に数字を使ったり随所に大文字を混ぜているのも有効な方法で、『わ』ではなく『は』をローマ字にしているのもポイントです。

これに利用サービスの一部の文字と記号を混ぜてあげればかなり強固なものになります。

『Yaho@1BanmenoInuhaJohnDesu』や『Raku@1BanmenoInuhaJohnDesu』といった感じでのようにです。

とは言え、日本においてここまで行われるようになるのは遠い先の話しになるのかもしれません。

それだけセキュリティ意識の低さを感じています。

ご参考までに。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、Wi-Fi（無線LAN）ルータにある機能で『SSIDステルス機能』というものをご存知でしょうか？

これ、セキュリティメーカーなどの解説を見ると『セキュリティ強度は上がらない。』と書かれていることがあったりしますが、それは全く意味がないということではありません。

ではどういう意味なのでしょうか？

Wi-Fiルータのステルス機能

『Wi-Fi（無線LAN）ルータのステルス機能は完全に秘匿できるのか？』と問われれば答えは『No』となります。

これは設計上の問題で、Wi-Fi（無線LAN）ルータのSSIDは常に電波に乗って通知されており、PCやスマートフォン、タブレットなどから”SSIDを入れて“接続を試みた場合はステルス機能が働いていても応答します。

ということは、完全には秘匿できていないことにはなります。

しかし、実際に接続するにはSSIDを知る必要があります。

ただし、周囲にどのようなSSIDが存在しているのかを調べることは技術的には出来てしまいますのでセキュリティ効果的に高いものとは言えないという意味になります。

ここを混同している場合が多いのではないでしょうか。

結論としては確率論の問題になりますので、むやみに公開しているよりは非公開にしておいた方が良いことは確かです。

従って、Wi-Fi（無線LAN）ルータのステルス機能は一定の効果はあるという答えになります。

また、認証方式には現状で最も強度の高い『WPA2』（WPA3はまだほとんど発売されていないため。）を採用し、暗号化方式にも『AES』を使い、パスフレーズもアルファベットの大文字・小文字、数字、記号を混在させた12文字以上のものを使うべきでしょう。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、連休明けの今日は再び注意喚起の記事投稿です。

先日の『楽天市場』をかたったものに続き、今回は『Amazon.co.jp』をかたったものが拡散している可能性があります。

Amazon.co.jpをかたる巧妙なスパム

『Amazon.co.jp』の偽物が拡散されることはよくあることではありますが、その内容は以前より巧妙になっているように思えます。

ここ数日あたりで拡散されているものもそうで、一瞬本物のAmazon.co.jpからのメールかと思わせる部分もあったりします。

件名：【Аmazon】■重要■ にご登録のアカウント（名前、パスワード、その他個人情報）の確認

内容例：

Аmazon お客様

残念ながら、あなたのアカウント Аmazon を更新できませんでした。
これは、カードが期限切れになったか。請求先住所が変更されたなど、さまざまな理由で発生する可能性があります。

アカウント情報の一部が誤っている故に、お客様のアカウントを維持するため Аmazon 情報を確認する必要・ェあります。今アカウントを確認できます。

Аmazon ログイン

なお、24時間以内にご確認がない場合、誠に遺憾ながら、アカウントをロックさせていただくことを警告いたします。

アカウントに登録のEメールアドレスにアクセスできない場合
お問い合わせ： Amazonカスタマーサービス。

お知らせ:
・パスワードは誰にも教えないでください。
・個人情報と関係がなく、推測しにくいパスワードを作成してください。大文字と小文字、数字、および記号を必ず使用してください。
・オンラインアカウントごとに、異なるパスワードを使用してください。

どうぞよろしくお願いいたします。
Аmazon

このような感じのものが拡散されています。

しかし、よく見ると誤字があったり、通常使われない言い回しがあったりしています。

この中で惑わされやすいのは『Amazon ログイン』の部分で、ここには偽サイトへの誘導リンクが張られています。

リンクURL：『https://www.amazon.co.jp.update.blue/www.amazon.co.jp/account-update』

※　間違ってもこのURLに移動しないでください。

これ、よく見るとドメインは『.blue』であり、正規の『Amazon.co.jp』ではないことがわかりますが、ぱっと見は間違えてしまう可能性があります。

皆さん、くれぐれもお気を付けください。

しかし、これに対して『パスワードの定期的な変更は不要』という考え方に変化してきています。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

総務省の『国民のための情報セキュリティサイト』にある、『IDとパスワード　設定と管理の在り方』を紹介するページでは、『パスワードを複数のサービスで使い回さない（定期的な変更は不要）』という文言が出てきます。

これは以前の考え方から変化していますが、何故そのように変化したのでしょうか？

パスワードの定期的な変更は不要

一部のインターネット記事を見ると、これはNISC（内閣サイバーセキュリティセンター）の見解を受けて変更されたようです。

しかし、NISCも他での見解を受けて方針を変更したのではないでしょうか？

約1年程前、米政府機関である『NIST（National Institute of Standards and Technology/アメリカ国立標準技術研究所』が発行する『電子認証に関するガイドライン』の新版からルールを変更するとされていました。

（参考：電子的認証に関するガイドライン by NIST）

これは、ユーザーに新しいパスワードへの変更を求めてもいい加減に作る傾向にあり、特別な理由がない限りはパスワード変更を求めるべきではないという考え方が専門家の間でも増えてきたこともあります。

また、NISTでは定期的なパスワード変更を止める代わりとして、最低64文字でスペースも入れられる『パスフレーズ』を推奨するとしています。

では、パスワード設定はどのように行うか？

パスワード生成を自動で行ってくれるツールを使うと良いです。

このようなものを使えば、個人に関連する情報が一切含まれず、英字の大文字・小文字、数字、記号、文字数、強度などを選択しながらパスワード生成を行うことができますので、非常に解読されにくいものであると言えます。

（参考：パスワードジェネレータ/Norton by Symantec）

そして、これを適切に管理さえしていれば、推測されやすいパスワードの定期的な変更よりも適切なものであると言えるでしょう。

しかし、資金的な状況は全く変わらないどころか悪化しているとも言える。

何故そうなってしまうのだろうか？

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

よくある話しの中で、『売上は伸びているんだけどお金が残らないんだよね。』という話しがあります。

では、何故売上が伸びているのに資金が残らないのでしょうか？

売上が伸びても資金が残らない理由

この話しは非常にシンプルな話しです。

売上が伸びても資金が残らない理由としては、その分支出も増えているからです。

例えば、Aという商品原価が100円、売価が200円であったとして、前年は100個、今年は150個売れたという要因だけであれば、商品1つ当りの利益率は同じですから必ず資金は増加します。

しかし、商品の仕入金額が増加し、売価は据え置いている場合、商品1つ当りの利益率は前年と比べると減少するわけですから資金も思ったようには残りません。

また、商品原価も売価も前年と同様であった場合でも、他の経費が増加した場合などにおいては当然思うようには資金は残りません。

収入が増えても、支出が増えているわけですから当然です。

支出をシミュレーションする

こういったことが起きる理由としては、やはりどんぶり勘定で行っていることが問題と言えるでしょう。

前年より売上が伸びているから多少支出が増えても問題ないという錯覚に陥ている可能性もあります。

それを避けるためには常に利益を見ながら支出をシミュレーションすることです。

潤沢な資金を持っていない中小・零細企業、小規模事業者にとっては売上高よりも利益状況がどうであるかが一番重要です。

そして、利益状況がどうであるかによって広告宣伝などへの投資幅を決めていかないと苦しい状況はいつまで経っても変わらないということになります。

これらの状況を防ぐためにも、常に内容を意識し、月々の数字は必ず全体を見るようにしなければいけません。