定期的なパスワード変更はもう古い?今の常識はコレだ!

Pocket

こんにちは。30代未経験ネットワークエンジニアのshin@セキュリティ勉強中です。

今回はタイトルに書いた通り、定期的なパスワード変更について書きたいと思います。(2019/9記)

先に結論から書くと、

定期的なパスワード変更の考え方は古いので変更する必要がない!

ということです。

ただし、何らかの形でパスワードが流出した場合はもちろん変更が必要ですが、基本的には、一度設定したパスワードは変更する必要はありません。

エビデンスはあるの?誰が言ったの?といった声が聞こえて来そうなので、その質問にも回答します。

エビデンス:有ります

誰が言ったの:総務省が言ってます!

詳細は以下のサイトを見てください。

http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/01.html

いかがだったでしょうか?定期変更は必要ないと言ってましたよね?

じゃあ、次に気になるのはどんなパスワードにすればいいの?ということでしょう。

上のURLではこのように言ってます。

「安全なパスワードを設定せよ」と、具体的には以下(引用)のようなものです。

(1) 名前などの個人情報からは推測できないこと
(2) 英単語などをそのまま使用していないこと
(3) アルファベットと数字が混在していること
(4) 適切な長さの文字列であること
(5) 類推しやすい並び方やその安易な組合せにしないこと

(1),(2),(3),(5)の言いたいことはわかりますが、(4)の適切な長さって?具体的に教えて欲しいですよね。

ちょっと、その他の資料がないかを探したところ、内閣サイバーセキュリティセンター(NISC)が発行している「第1章 基本のセキュリティ~ステップバイステップでセキュリティを固めよう~」の10P目に推奨値が書いてました。

いや、同じ国なんだからら情報書いとけよ!って思いますよね。

推奨値としては、「英大文字小文字+数字+記号混じりで 10 桁以上」だそうです。

上記を参考にすると次のようなパスワードでしょうか。

例)

30da1Mi29#

かつ、もう一つありまして、「複数のサービスで使い回さないようにしましょう。」とあります。

こんな複雑なパスワードを複数のサービス(Google、yahoo、Twitter、Facebook、楽天など)で別々で覚えろということですか?

よし!手帳に書いておこう!

↑ダメです。落としたらすべて入られます。

よし!iPhoneのメモ帳に入れておこう!

↑パスワード入力するときに後ろから覗かれていたら入られます。

じゃあどうすればいいのか?

パスワード管理ツールを使いましょう。

パスワード管理ツールとは、マスターのパスワードだけを覚えておいて、それ以外はアプリに保存させるツールのことです。

有名なアプリだと以下のようなものが有名です。
私は、1Passwordを使ってます。

1Password(ワンパスワード)

Last Pass(ラストパス)

昔はパスワードの定期変更が常識でしたが、今ではそれが非常識となってきています。

皆さんの周りにもし、「パスワードの定期変更が必要だよ!」と言っている人がいたら是非、「その考え古いですよ。今はパスワードを10桁以上にして、使い回さない事が常識ですよ」取ってあげてください(笑)

以上です。ありがとうございました。

Pocket

Fortigateでsyslogを取ってみた

Pocket

こんにちは。30代未経験ネットワークエンジニアのshin@セキュリティ勉強中です。

今回は、FortigateでSyslogの取得をしてみたいと思います。

Syslogを取得すると何が嬉しいかというと、何かセキュリティインシデントが発生した場合に、時系列でどういった通信をしてどんな情報がどこに対して行われたかを可視化するために、Syslogがないと何もできません。そのため、Syslogを取得することはとても必要となります。

設定は簡単です。

それではやっていきましょう。

【手順】

1.「ログ&レポート」>「ログ設定」

2.「リモートロギングとアーカイブ」>「ログをSyslogへ送る」

チェック:ON
IPアドレス/FQDN:Syslogサーバのアドレスを入力

3.「適用」を選択

以上で設定は終わりです。

続いてちゃんとログが取得できているかを確認する必要がありますので、ログを確認していきましょう。

まずはパケットを見てみましょう。

ちゃんと取れてますね。

ファシリティが「local7」なのは、Fortigateのデフォルトのようです。

CLIから設定を見ると確かに「local7」になってます。

 

●確認コマンド

get log syslogd setting

 

もし変えたい場合は、CLIで変更できるようです。

config log syslogd setting
set facility “ファシリティ“
end

実際に「local1」に変更してみました。

パケットもちゃんと「local1」になってました。

 

続いてちゃんとSyslogサーバにもログが転送されているか確認してみます。

こちらも問題なく転送されてきているようです。

今回のsyslog設定は以上です。

ログはセキュリティインシデントの調査に必ず必要になりますので、是非設定してみてください。

どうもありがとうございました。

 

p.s.

最近パソコンのセキュリティ対策支援というものを始めてみましたので、何かパソコンのセキュリティについて聞いてみたいことがありましたらコメントか、以下メールにご連絡ください。

shin.secsup@gmail.com

Pocket