Windowsの推奨パスワード長

http://ophcrack.sourceforge.net/tables.php
ふと、今ならどの程度の長さのパスワードが妥当なのかなと思い見てみた。

ophcrackは有名なWindowsのログインパスワード解析ソフトです。レインボーテーブルというデータベースを使用することで効率よくパスワードの解析を行い、ターゲットとなるWindowsのハードディスクを接続した状態で起動すると数分~数時間でパスワードを調べてくれます。

提供されているレインボーテーブルで一番大きな物は Vista_eightXLで$949で販売されています。このテーブルを使えばWindowsのログインパスワードで大文字、小文字、数字、記号 を使ったパスワードの場合、8文字までは、短時間で解析可能って事になります。つまり、大文字、小文字、数字、記号 を使った場合は、最低でも9文字以上のパスワードにしないと気休めにもならないことを意味します。

会社のグループポリシーとしてパスワードを定める場合も9文字で良いのかというと、そこは微妙なところです。大文字、小文字、数字、記号 を使った良くある(クラック用のパスワード辞書に載ってるような)パスワードの場合、12文字まで対応したレインボーテーブルが提供されているからです。グループポリシーで「 複雑さの要件を満たす必要がある」に設定したとしても、 大文字、小文字、数字、記号のうち3種類以上を使うことを要求するだけで、パスワード辞書に載っているようなパスワードを設定出来なくなるわけではありません。最低でも13文字以上のパスワードを義務づけないと容易にクラック出来るパスワードを使われる可能性を排除できない事になります。

でも現実問題として13文字以上で大文字、小文字、数字、記号を使ったパスワードを諳んじたり、頻繁に入力するのはかなり厳しいですよね。現実的なところで、多要素認証でのローカルログイン導入が必須となりつつあるって事かな。Windows10なら顔認証とか、スマホ連携とか標準で対応できるしね。

待機児童問題

乳幼児期の待機児童問題

待機児童解消の為に保育所を作り、保育士を増やすなどという非現実的な事はやめた方が良い。待機児童の多さが大きな問題となっているのは0~3歳の乳児期の保育だ。現状では枠も少ないので母子家庭や父子家庭、病気療養などの特別な事情がない限りは、よほど幸運でない限り入れません。

この年代の子供は生活の全てを大人が支援する必要があり、0歳児では3人に1人、1~2歳児では6人に1人の保育士配置を求めています。各年代に100万人くらいの児童が居るので、利用者が50%としても、新たに30万人ほどの保育士が必要にな計算です。現在の保育士が全国に50万人ほどだから倍増させる必要があります。その上で低賃金も解消しようとするなら、予算を3倍にしても間に合うか怪しい所です。

もっと現実的な解決方法があります。男性も育休を取れば良いのです。現総理が育児休暇を三年に延長するという案をだして、ずいぶん批判されていたが、的は外していないと思っています。夫婦で半年づつ交互に育休を取り、3歳になるまで保育します。3歳になれば20人に1人の保育士の配置でよく、実際に待機児童も激減します。

延長保育の問題

もうひとつ延長保育の問題があります。地方でも都心部でも通勤時間が1時間~2時間というのは珍しくありません。仮に延長保育を申し込んでも18:00~19:00までしか預かってもらえない施設が大多数なので、定時に退社してかろうじて間に合うかというところです。これでは残業も一切できませんから、正社員としてフルタイムの仕事に従事するのは困難になります。

この対策として昔のように職住近接を推薦していただければと思います。事務職に関してはITを活用した在宅勤務や、サテライトオフィスでの業務に従事することができれば、遠くにある会社所在地にしばられる事もありません。中途退社して子供を迎えた後、自宅等で続きの仕事をできればお迎え問題はだいぶ緩和できるはずです。

これに加えて、現在は持ち家・・・それも新築ばかりが優遇されていますが 、賃貸住宅に住んだり、必要に応じて中古住宅を売買して、職場の近隣に住むことを推奨する政策を実施してほしいと思います。これは子育て世代だけではなく、多くの人にメリットのある事です。3LDKの間取りなんて子育て中にしか必要なく、老後にはオーバースペックとなる無駄な投資です。通勤に浪費する時間を減らせれば、家族と過ごす時間も随分と増やせます。経済状況に応じて最も大きな固定費である居住費を容易に減らせるのは、失業対策にもなります。

職場から数十分のところに住むようになれば、多少の残業が発生しても延長保育中に迎えに行くことが容易になります。なんとか検討してほしいところです。

ファイルサーバ導入の基本、ライセンス違反はないか?マイナンバーに使ってもよいか?

ファイルサーバ導入の基本、ライセンス違反はないか?マイナンバーに使ってもよいか?
宣伝記事とはいえ、語弊の多い内容なので・・・・

Windows搭載サーバをファイルサーバ用途として利用する際はアクセスするPCやユーザーの数に応じたライセンスが必要となる。そのことを知らずに利用してしまうと、ライセンス違反となってしまうので注意が必要だ。

グループウェアや業務システムを動かすにもユーザーの数に応じたライセンス(CLI)が必要になることが多い。CLIが不要なのはユーザー認証の無いシステムや、インターネットで不特定多数に公開するシステムだけです。業務システムやグループウェアでユーザー認証不要なサーバーと言うのは考えにくい。もしCLIを買っていないなら、ライセンス違反になっている可能性があるか、セキュリティ上問題があると思った方が良い。

とはいえ、「専用機ではなく、扱い慣れたサーバをファイルサーバにしたい」というニーズはもちろんある。それに応えたのが2番目に多い「サーバをベースとしたファイルサーバ専用機」という形態だ。

これらは機器としては一般のサーバと同じだが、「Windows Storage Server」というファイルサーバ向けOSを搭載している。用途が限られるが、PCやユーザーの数に応じたライセンス(Windowsの場合は「CAL(Client Access License)」と呼ばれる)が不要となる。

簡易NAS(LAN接続可能な外付けHDDやストレージ機器によるファイルサーバ専用機)でWindows Storage Serverを搭載している機器は稀である。特に国内ではBuffaloの一部のエディションを除いてほぼ皆無になっている。大部分はLinuxをベースとしたFile Server専用のディストリビューションで構成されている。

簡易NASは10名以下の小規模なチームで使用するには便利で私もお勧めする。これらの機器を単体で使う場合は、ユーザー認証機能が貧弱なことが問題となる。例えばユーザーごとにパスワードを設定しようとすると、従業員を一人一人呼び出してサーバーの管理画面からパスワードを設定してもらという、なかなかに面倒なことになる。Active DirectoryやLDAPを使った認証サーバーと連携することもできるが、Linuxをベースとした機器ではユーザー権限の設計思想が根本的に違うため、Windowsのような柔軟な設定はできない事が多い。従業員ごとにアクセス権を設定する必要がない場合や、ごく限られた人数で使用する場合には良いが、利用者数が増えると運用が難しくなる。

また、そもそも低価格帯の簡易NASは同時接続可能なセッション数を数百と見積もって設計されている。したがって接続するPCが数十台になるとスペック的にも苦しくなっているはずである。

「特定のPCをファイルサーバ用途として利用」は避けるべき選択といえる。WindowsではPCをファイルサーバ用途として利用することはライセンス上、許可されていない。

これは誤り。Windows 10やWindows 7などのクライアント用OSを使ってファイルサーバを構築することはライセンス上許可されている。ただし同時接続可能なユーザーセッション数が20までとなっている。一人のユーザーが複数のセッションを使用する場合もあるので安心して使えるのは5人程度までと思ったほうが良い。

従業員数が20名を超えるようなら、そろそろエンタープライズ向けのサーバーを用意して、クライアント管理機能を使用する事を見当した方が良い。というのも物理的にローカルコンソールにログインしてメンテナンスできる台数が、せいぜい20台が限界だからだ。例えば業務アプリケーションの一斉更新が必要になったとする。もし1台ずつ設定等を確認して構成していては、1台あたり数時間、数十台ともなれば終日頑張っても終えるのが難しくなってくる。セキュリティ更新の適用確認だって時間がかかる。

それにあわせて全社的なファイル共有の仕組みも整えるのが妥当と思う。昔はちょっとパソコンに詳しいだけの人が仕事を任されてしまった悲哀をよく聞いたが、今ならクラウドベースのサービスが多数あるので高度な専門知識がなくとも運用できる環境が整っている。Windows Itune(MicrosoftのクライアントPC管理サービス)やOffice 365といったサービスを使えば難しいことは抜きにできるはずだ。

SC合格者は「情報処理安全確保支援士」試験免除へ

情報セキュリティスペシャリスト合格者は「情報処理安全確保支援士」試験免除へ
登録しようかなぁ。でも登録料取られるんだろうし・・・名称独占だけならSCのままでも同じだよなぁ・・・と思っいつつ、原文を見た。

情報経済小委員会試験ワーキンググループの検討結果を取りまとめました

①従来の情報処理技術者試験のうちSC試験等に合格した者の取扱い
     <<中略>>
なお、情報処理安全確保支援士制度の開始から一定の期間(例えば2年程度)をもって
既合格者の登録申請の期限とし、登録申請期限経過後は資格試験の免除を受けることがで
きないものとする。

ですよねぇ。

これで登録しないという選択肢はなくなりました。
ただ更新義務付きと言うことは更新に手数料もかかるのだろうし、名称独占だけで実質的に今までのSC合格者と同じ扱いだと、ちょっと割に合わないよなぁ。インセンティブが必要とは報告書にも書かれているので、そのあたり期待してます。