先日の朝日新聞の記事にあった、「サイレント・バンカー」は銀行に取引の正当性についての責任を多く負わせている日本の法律の下では銀行にとってのかなりの脅威であると思われます。こういうのはクライアント側で感染しないようにするしか防御手段がないから、ウェブの世界の分断化が進むんじゃないかと思ってたりします。単純にいうと、シンクライアントでウェブではいわゆる取引的なサイトしか使わないPCと、娯楽を含め一般的に利用するPCをわけるとか、そういうの。万全じゃないけど、相対的には安全。この手で言論空間も分断できればいいのにね。
さて、高木先生は相変わらず皮肉が利いていて面白いんだけど、ちょっとだけツッコミ入れてみる。

これまで文系のセキュリティ屋がお経のように唱えてきた『パスワードを定期的に変更せよ』とかいう対策は何の防御策にもならない。

高木浩光＠自宅の日記 - 朝日新聞の記事を真っ当な内容に書き直してみた

お経は死者にのみ意味があるのですよ。いや、そうでもないけど。
パスワードを定期的に変更する、というのがセキュリティー対策としてどうか、というのはいろんな仕事の場で意味ないよねという声が上がるけれども客のセキュリティーポリシーにあるからしょうがないとか、そういう理由で実装しちゃったりするものなので実際にはそんなに検討されないことが多いんじゃないかな。文系のセキュリティー屋よりも、文系のお客さんが「要件として」出してくるから、こっちは「意味ない」って言い張るよりも「はいはいじゃあ工数は〜」とした方がよいわけで。安直に実装できるし。
ただ、パスワードの定期変更って、防御策じゃなくて、事後対応策なんですよね。防御って意味では毎回同じパスワードを使っていたら盗み見られる可能性が上がるとか、そういう意味なのかもしれないけど、本当に盗まれようとしていたら一発勝負で簡単に持っていかれます。
もし意味があるとしたら、盗まれたことに気付かないで使っている状態を少しでも短くしたい、というのは理由にはなりそう。そんなのは普通ログイン履歴とか取引ログからわかる話だけど、前回のログイン日時とかを気にしていない人は多いよね。で、振込のような取引の類は発覚しやすいけど、情報閲覧系のサービスだったら、使われているのがわからないかもしれない。パスワードを定期的に変えるのは、そういったある種のリテラシーが低い人のリスクを少しでも減らそうという対策なんじゃないかな。だから、万全のセキュリティーを構築する一環にはなり得ないけれども、全く意味がないわけではない、と。費用対効果は微妙だし、頻繁に変えることによってそのようなある種のリテラシーが低い人がいよいよパスワードを書いた付箋をモニターに貼り付ける確率は上がってくるだろうし、その点まで考えるとセキュリティー対策的にはマイナスである可能性も否めないけれども。
僕は文系のセキュリティー屋が訳の分からない対策をお題目のように唱えてきた現場には居合わせたことがないから、どんなことを実施に言っているのかわからないけれども、突貫工事的に良くわからないままISMS取得の為にセキュリティーポリシーを作ったことが根本原因だったりすると、やっぱり現場の実装屋というよりは文系のセキュリティーコンサルから出てきた話なんじゃないかと思ったりはします。