パスワードの国際条約

概要[編集]

パスワードの国際条約は、利用者が設定するパスワードを「安全であること」だけでなく「監査可能であること」を両立させる枠組みとして整備されたとされる。条約本文では、パスワードの文字種、長さ、変更頻度、漏えい時の通知様式、ならびに保管設備の監査記録の保持期間が詳細に定められたとされる。

発端は、1997年にサンパウロで発生したとされる「公開質問状事件」である。行政窓口の暗証照合が停止し、代替措置として“短い合言葉”が全住民へ配布された結果、翌月に約34万人分の認証が混線したことが議論を加速させたという^[2]。のちに、同様の混線が東京とロンドンでも起きたと報告され、各国当局は「合言葉」ではなく「パスワード」に責任を戻すべきだと結論づけたとされる。

条約の特徴は、技術的指針が条文化され、しかも各国が“解釈の差”ではなく“運用の差”を争う構造になっている点にある。編集部内では「パスワードが政治化した最初の例」と評されることがある一方、実務家の間では「監査官が文字数を数える時代の到来」とも呼ばれた^[3]。なお、条約の正式名称は長いが、報道では「パスワード条約」と略称された。

成立の経緯[編集]

制度の内容[編集]

条約は第1章から第7章までの構成とされ、第7章が最も引用される。第7章「十六音節以上」では、パスワードに含める音節が合計で16以上であること、かつ音節の区切りに“読点に相当する入力停止”を含めることが求められたとされる。ここでいう入力停止は、キーボード入力の途切れが0.9秒以上続く状態を指すと注釈されている^[7]。

次いで第3章では、漏えい時通報の様式が定められた。「通知書式A」では、漏えいが疑われる時点から起算し、24時間以内に“可能性のある文字種”を提出することになっている。なお“文字種”は、大文字/小文字だけでなく「濁点や半角スペースも音節の一種として扱う」として分類が設けられたとされる。この細かさにより、実装の現場では「条約はプロトコルのように読める」と驚かれたという^[8]。

また、第5章は保管に関する監査である。パスワードそのものの保管を禁じる“趣旨”が記されつつ、実務では「復元ではない確認」を目的とする検証器が認められるとされた。この検証器の要件として、監査ログの保持期間が「計算資源の腐食を見込んで最大3,840日」と書かれた例が紹介されている。数値の出所が不明確だと批判されたが、同時に多くの当局がこの期間を採用したとされる^[9]。

社会的影響[編集]

条約の導入後、パスワードの作成は「努力」から「準拠」に変わったとされる。学校教育では、情報モジュールの授業にジュネーヴ型の監査観点が取り込まれ、単に強度を上げるのではなく“監査団が数えやすい形”にすることが指導されたという。

一方で、行政の窓口は混乱した。各自治体は条約施行直前にシステム更新を行い、住民向け申請フォームでは「十六音節以上」への適合チェックが導入された。しかし多くの自治体は“音節”の判定に苦しみ、大阪の一部窓口では「文字数ではなく拍の長さを入力している」と住民が誤解したとされる。結果として、住民が自作の韻律詩を入力し、担当者が読み上げる事態が起きたという逸話が残っている^[10]。

経済面では、認証サービス企業が条約準拠を売りにすることで成長し、シリコンバレーのスタートアップが「監査証明付きキーボード」を展開したとされる。とはいえ、影響は安全だけにとどまらず、監査を取れる企業ほど顧客を得る“準拠格差”が生まれたと批判された。のちに、準拠格差は労働市場にも波及し、監査官の職種が増えたともされる。

批判と論争[編集]

批判の中心は、条約が「安全性」と「監査容易性」を同一線上で扱う点にあった。暗号理論の研究者からは、音節基準が攻撃耐性の代理指標になっていないのではないかという指摘があるとされた。特にマドリードの暗号評価研究所は、音節の定義が言語に依存するため、統計的評価に偏りが生じると報告したとされる^[11]。

また、情報の取り扱いをめぐる懸念も出た。条約では漏えい通報の迅速化を求める一方、通報のための“可能性のある文字種”を提出することになっており、企業によってはその提出自体が新たな情報漏えいを誘発するとして問題視された。さらに、監査団が検証器ログを閲覧する過程で、監査員の端末に痕跡が残ることがあり得ると議論されたという。

論争は政治にも飛び火し、北京のデジタル統制局は条約を「統一された認証モデルによる市民管理の枠組み」と批判したと報じられる一方、カナダの一部議員は「統一は多様性のため」と擁護した。最終的に折衷案として、監査ログの閲覧権限を“第三者委任”に限る改正が進んだが、改正案の成立過程には「読み上げ記録の差異」をめぐる争いがあったとされる。なお、改正の議事録が“90ページ以上が空白”だったという噂は、嘘だと否定されつつも社内で語り継がれている^[12]。

脚注[編集]

関連項目[編集]

認証監査

秘密規格

漏えい通報

暗号評価研究所

国際通信認証評議会

十六音節基準

パスワード復元ではない検証器

脚注

1. ^ 【国際通信認証評議会】『パスワードの国際条約（草案逐条解説）』ICAA出版局, 2001.
2. ^ M. A. Thornton『On Auditable Secrets: International Harmonization of Credential Practices』Journal of Network Assurance, Vol. 12, No. 3, 2003.
3. ^ 【エリオット・J・クライン】『音節に基づく認証強度の評価枠組み』Language & Security Review, 第7巻第2号, 2000.
4. ^ Santiago R. Velásquez『The 24-Hour Disclosure Format and Compliance Incentives』Proceedings of the Privacy Operations Society, Vol. 9, pp. 44-61, 2004.
5. ^ 【欧州電子認証総局】『GPA監査団報告書：ジュネーヴ運用ガイド第1版』欧州電子認証総局, 2002.
6. ^ K. Nakamura『十六音節以上の実装と現場誤差：自治体窓口の事例研究』日本情報認証研究誌, 第15巻第1号, 2005.
7. ^ L. D. Mensah『Credential Logging and Data Decay: A 3,840-Day Assumption』International Journal of Audit Technology, Vol. 6, Issue 4, pp. 101-129, 2006.
8. ^ 田中慎一『パスワード条約と監査官の政治経済学』通信政策年報, 第22巻第3号, 2007.
9. ^ “International Password Treaty: Geneva Practice Notes” Communications Desk Digest, Vol. 1, No. 1, pp. 1-9, 2002.
10. ^ J. P. Dubois『Le contrôle de conformité des phrases secrètes』Revue Européenne de Sécurité Numérique, 第3巻第1号, 2003.

外部リンク

• GPA公式運用メモ（架空）
• ICAA条約草案アーカイブ（架空）
• 音節基準検算ツール配布所（架空）
• 漏えい通報書式Aジェネレータ（架空）
• 準拠格差レポートセンター（架空）