Excelのパスワードは「気休め」です!


この記事の所要時間: 350秒 〜 450秒程度(2202文字)


日本年金機構の個人情報漏洩事件を受けて、@ITにWord/Excelのパスワードによる保護では個人情報は守れませんという記事が掲載されていた。「山市良のうぃんどうず日記」という連載記事で、Microsoft Excel等のパスワードはパスワードクラックツールで簡単に破れるというお話。「悪意のある攻撃を完全に防ぐことは不可能」で、「人に頼ったポリシーはセキュリティ対策とはいえない」と続く。知っている人には極めて当然のことながら(失礼!)、セキュリティ意識の低い人にはなかなか理解してもらえない内容。書いてもあまり歓迎されない内容のためかあまり見掛けないタイプの記事であり、今回は興味深く読ませてもらった。
 
自分に言わせれば、Excelなどのパスワードは「ダイヤル式南京錠」のようなもの。「まさか番号の組み合わせをすべて試す奴はいないだろう」が前提で成り立っている。「すべて試す」ことを補助するツールを使われればひとたまりもないし、ダイヤル式南京錠と同様に開け方のコツもあるだろう。多くの場合、そこまでして鍵を開けるのは面倒なので破られないが、相手に本気になられたら勝ち目はない。見出しで、Excelのパスワードは「気休め」としたのはこのためだ。
 

南京錠

credit: Gadini via pixabay

 
さて、問題はこの「気休め」が多くの人に理解されているかどうかだ。もし理解されていないなら、パスワードの信頼が「気休め」程度であることを、うまく伝えた方がいい。
 


パスワードを付けるマナーが良くない!?


繰り返しになるが、パスワードで個人情報は守れない。Excelのパスワードに限らず、攻撃する側が本気になったら情報漏洩は必至だろう。この点はリアルな鍵と一緒で、正しい開け方がある限り、正しくない開け方は存在し得る。その可能性を極限まで下げることはできるだろうが、ゼロにはならない。そして、Excelについてはクラッキングツールがネット上に転がっているのだから、この鍵は風前の灯だ。
 
ただし、これを知っている自分も、多少でも重要な情報を送るときにはパスワードを付ける。マナーというか、アリバイづくりというか、「情報を守る気がある」ことを伝えるためだ。たとえ「ダイヤル式南京錠」だとしても、付けないよりはマシという感覚もないではない。
 
しかし、このマナーが良くないのかも知れない。マナーが浸透すれば、ことの本質を理解せずExcelのパスワードだけで安心する人も多くなるからだ。リスクの自覚が低いことは、トラブルの元に成り兼ねない。
 


パスワードをそのまま書くのは・・・


やや話はそれるが、パスワードを別メールで送るというマナーもある。これこそ気休めに過ぎないと思うものの、ビジネスでは常識となっている習慣だ。やらないよりやった方がいいとしても、メールの数が増えるのが難。効果があるか検証して欲しいと思う程だ。
 
そして、これについては一つ苦言がある。
別メールだからと言って安心するのか、パスワードをそのまま書く人が多いのだ。セキュリティを考えるなら、パスワードを「生」で書かないことは基本中の基本の筈。メールを別にするより、こっちの方がずっと重要だろう。「○○さんの誕生日(8桁)」でも、「今日の待ち合わせ場所の名称をヘボン式ローマ字で」でもいいから、直接書かない方がいい。これをすることでそのパスワードの堅牢性が上がるとは思わないが、「パスワードを生で書いてもいい」という悪習を身に付けないためにも必要な工夫だろう。
 


原理原則を!


さて、現実的には、Excelにパスワードを付けるのは良い習慣だ。マナーとして大切だし、情報を守るという考えを植え付けるにはいい手法だろう。ある種の啓発にはなる。
 
しかし、それと同時にパスワードが「ダイヤル式南京錠」と変わらないことも伝える必要がある。「破られて当然」くらいで教えておかないと、過信をつくり、悪い結果を生みかねないからだ。上記の「啓発」との共存をうまく行なうのが難しいが、ここが落ちてはパスワード付けの奨励は害悪にしかならない。小手先の手練手管を教えるのも大切だが、ことの本質を教えることも大切なのだ。
 
理想を言えば、

個人情報は
 ●取得しない
 ●所有しない
 ●送信しない

が大原則。もちろん、そうはいかないのでデータベースシステム等で管理するわけだが、他のファイル形式で書き出せる時点で怪しくなる。システムの外に出てしまえば、いつかは漏れる(システム内なら「絶対安全」とも言えないが・・・)。Excelにパスワードを付けたくらいで安全だと考えるのは大間違いだ。
 
個人情報の取り扱いについては、原理原則を教えずに小手先の管理手法を教える風潮があるように思う。そして、根っこを知らないとマヌケなことをし兼ねない。パスワードが絶対でないことを知らせるために、Excelのパスワードが簡単に破れることは、とてもいい例だ。これを積極的に伝えることで、セキュリティに関する意識を高めたいものだ。

  1. コメントはまだありません。

  1. トラックバックはまだありません。

This blog is kept spam free by WP-SpamFree.