Scribble at 2020-04-20 21:24:27 Last modified: 2022-10-03 16:03:19

僕は情報セキュリティに限らず、常に僕らの生活の中で価値や役割や意味をもつことについて、何か特定の期間だけ何とか月間だの何とか週間だのと決めて宣伝したり、あるいは何とかの日と銘打ってイベントを開催したりするようなアプローチを支持しない。そういうイベントにして「自分事（広告代理店が言う『じぶんごと』）にする」という錯覚は、良くないと思う。

たとえば、どういう日に "the world password day" としてキャンペーンを開催するのかという規則性があれば、その時にパスワードを変更するような人が増えてくれば、その日にクラックしてしまえば１年間は同じパスワードで成りすましてもバレないという恐れがある。なぜなら、そういうイベントに際してパスワードを変更するような人に限って、その日にパスワードを変更したら、翌年のイベントまで放ったらかしにしている可能性があるからだ。つまり、１年に１回しかパスワードの変更を大々的に訴えないような実態があると、そのように脆弱かもしれない管理を逆に正当化してしまいかねない。こういうユーザの心理を生んでしまうような原因となる脆弱性こそ、パスワード管理においては重大なリスク要因なのである。認証情報は、必要があればいつでも変更したり破棄するべきである。毎年の記念日みたいなタイミングで変更するようなものではない。それこそ、90日ごとの「定期的な変更」などと言っていた（いまでは殆ど聞かれなくなっているが）、いわゆるセキュリティ劇場と同じであろう。