パスワードの定期変更は本当に有効?技術者不在でセキュリティの議論はできません!

本日のテーマは新宿区のシステム・セキュリティについてです。

ちょうどお昼すぎから新宿区情報公開・個人情報保護審議会に参加してきました。
月に1回くらい開催されおり、
その名の通り、「情報公開、個人情報保護」に関して審議をする場です。

審議会の構成メンバーは、
有識者、町会、公募区民、議員等で構成されています。

今話題のマイナンバー制度についても議論をしていますが、
ご存知の通り年金情報の流失が発覚したことによって区民の不安も高まっています。

審議会では
「セキュリティはとにかく気をつけて!」
という台詞が頻繁に飛び交っていおり、
必然的に「システム・セキュリティ」について触れた上で議論をすることが多くなっています。

先述の通り年金問題で不安が高まっていることもあり、
本日は「セキュリティを高めるための施策」に関してご説明がありました。

実際に講じている対策の一つとして、
「パスワードの複雑性・定期変更が重要」ということをお伺いしました。

例えば、パスワードの定期変更と聞くと、
「とにかく更新したら安全だよね。」
という結論になってしまう方もいらっしゃるのではないでしょうか。

しかし、Webアプリケーションの開発現場では、
「パスワードの定期変更で安全性は向上するとは言えない」
あるいは、
「アカウントロックなど他にやるべきことがある!」
と技術者が疑問を投げかける声を何度も聞いてきました。

こちらにあるライフハッカーの記事もご参考に。
実際、パスワードはどれくらいの頻度で変えるべきですか?

アカウントロックとは、
パスワードを複数回間違えたときにログイン機能をロックすることを指しており、
うっかりパスワードを忘れた時にログインができなくなってしまったり、経験がある方もいらっしゃるのでは。

行政の内部システムも議題の対象ではありましたが、
今後は行政でも更にWebアプリケーションの導入が進んでいくことを想定し、
私からは「アカウントロック」についての対処を検討していくべきだとご提案させていただきました。

私はご承知の通り技術者ではありません。
経験は少ないですが、Webアプリケーションの開発実務を経験してきたこともあり、
セキュリティに関することも実務や、その他勉強会や書籍で学んできました。
そのため、未熟ではありますが、質問・ご提案をさせていただきました。

「セキュリティはとにかく気をつけて!」
このような提案をすることは簡単ですが、
その返答として
「一生懸命対応しておりますので。」
と言われてしまえば、セキュリティの向上は見込める可能性は非常に低いものとなってしまいます。

参加メンバーを見ても、
システム・セキュリティとは関わりの薄い方が中心となっている現状では、
何か問題があったとしても、具体的に指摘をすることはできないでしょう。

そこで、審議会の中に技術者に複数名参加していただくことにより、
具体的な技術の提案をしていく場に変えていく必要があると考えています。

また、新宿区ではセキュリティ責任者が各担当課長、
そしてCIO(最高情報責任者)が副区長です。
「システム、セキュリティの知識・経験が十分あるの?」
と疑ってしまうような方たちで構成されています。

電子行政サービスを推進していくためには、
常日頃から全ての部署でシステムについて議論を深めていかなければなりません。
これからは審議会の構成メンバーはもちろん、
職員に技術者を採用していくことで生産性が向上をすると考えています。

これからも、デジタルネイティブ世代の議員として、
システム・セキュリティについて調査・質問・提案ができるよう、
定期的にシステム開発に関する勉強会へ参加したり、コードを書いたりしていきたいと思います。

それでは本日はこの辺で。

ABOUTこの記事をかいた人

伊藤 陽平

新宿区議会議員(無所属) / 1987年生まれ / 早稲田大学招聘研究員 / グリーンバード新宿チームリーダー / Code for Shinjuku代表 / JPYC株式会社