GWに勉強しようと思っていた文献
完全に自分用メモであるが、インターネットで公開されている動画や文献でこれは!と思ったもの。すでにGWが半分終わっているなんて信じられない。
データ研修
デジタル庁準備室新規メンバーに向け、平本CIO補佐官が講義したもの。これを公開してくれるのは素晴らしいと思う。これは優先度最上位(早く見ろ
安宅さんの「データ・ドリブン社会の創発と戦略」講義動画
言わずもがな、シン・ニホンやイシューからはじめよで有名な安宅さんの慶應での講義動画。サイトや動画再生がすごく重いが(見てる人が多いんだろうか)これもざっと見たい。
データ分析のための統計学入門
http://www.kunitomo-lab.sakura.ne.jp/2021-3-3Open(S).pdf
本一冊分をまるまる公開してくれている。良書ぽいが流して読むには多い、、目次だけしっかり読んで、気になるところは読む、あとは必要なときに思い出せるようにしておくか。
AWS入門
これも東大の教材。読み物というよりは調べ物するときにも便利そう。
なお東大のよさげな教材はここを参照にした。人工知能の動画も見たいとは思っている。
digitaldigital.hatenablog.com
VRアートとNFTについて
最近OculusQuest2を買った。
この記事を見てVRアートに興味を持ったのがきっかけだ。
僕は2007年から数年間ほど、SecondLifeにはまりネトゲ中毒だった。
SecondLifeでは主にものづくりをやっていた。アバターが装着できる服や髪を作り、それ売ってSecondlife内の通貨(リンデンドル)を稼ぎ、複数の土地やショッピングモールを借りて自分の家や店をかまえていた。
Secondlifeの面白かったところは、ものづくりの自由度が異常に高いところである。
服をつくる場合、Blenderなどの3Dソフトでスカルプと呼ばれるパーツをつくり、そこにフォトショップやGimpでつくったテクスチャーを貼り付け、Secondlife上でアバターに装着させ服を完成させる。僕が服屋を引退した後はスカルプにボーンを設定してアバターの動きに追随させるのが当たり前になっていた。建物や家具だと、上のような工程でパーツをつくった後、アニメーションやスクリプトをしこむ。
なので、ものづくりに参画するための技術的ハードルは結構高い。Blenderとかそんな簡単なツールじゃないのだがまずこれがさわれないと始まらない。
しかしマスターすれば、リアルではできないものを作ったり、あるいはリアルにあるものをかなり精緻に再現したりできる。ホグワーツ城とかあったし、僕は高円寺SIMにコメダをつくったりしていた。
Secondlifeで好きだったSIMに、モンサンミッシェルを完全再現した場所があった。
メタバースなので当然自分のアバターでモンサンミッシェルを歩けるし、写真をとったり道沿いの店で買い物したりできる。
そのSIMは本当によくできていて、僕は一度リアルでモンサンミッシェルに行ったことがあるが、入り口の感じとか修道院に繋がる階段の感じとかがリアルで、ちょっとした海外旅行気分を味わえた。
ただし、これを作り上げるのには相当な労力がかかっただろうと思う。
壁や石畳のひとつひとつ、道端に生える草ひとつ、バリエーション毎にテクスチャーを作りそれをアップし、Secondlife内でオブジェクトに貼り付け設置する の繰り返しである。(全部手作りではなく他のクリエイターから買ってきたものもあるだろうが)なおSIMには設置できるオブジェクト数に限りがあるため、いかに少ないオブジェクト数で表現するかも考慮の必要がある。
前置きが長くなったが
VRアートが面白そうだと思ったのは、Secondlifeだと相当な労力がかかる表現がより直感的にできるんじゃないかと思ったからだ
この大仏も、最初の画像はすごいが、作り方はシンプルだし直感的である。まぁ凝り始めてもっと表面の質感とか書き込みを増やすときりはないと思うが、照明などで十分それらしくなる。使ってるペイントソフトはgoogleのTiltbrushというもので、Oculusストアから購入できる。
例えばこのせきぐちあいみさんのアート、Secondlifeでも作れると思う。ただ、Secondlifeのほうが手間かかるかなぁーとは思う。
漫画家の方が3Dで家や街をつくってキャプチャーを背景画像に使うっていうのを以前見て、面倒なことするもんだなぁと思ったが、Tiltblushで書けばスピードアップできるんではと思う。
ところで、冒頭のニュースでもう一つ興味を持ったのがNFTである(やっと本題である)
NFTとは、Non-Fungible Token、代替のきかないトークン である。
まずFT(代替可能なトークン)だが、例えばこれは1万円札が該当する。1万円札は別の1万円札に交換することもできるし、他の1万円分の価値をもつ品物や商品券などに交換することができる。
つまり代替可能である。1万円札が1万円の価値を持つことは日本国が保証してくれている。
しかし、例えばその1万円札が「ドラマ北の国からで田中邦衛さんが撮影につかった泥のついた1万円札」だったらどうだろう
見た目は他と同じ1万円札であってもマニアから見ればそれ以上の価値のある、唯一無二の1万円札となる。この時、「ドラマ北の国からで田中邦衛さんが撮影につかった泥のついた1万円札」であるというメタ情報を証明するのが、NFTである。鑑定書のようなもの、というのが近いかもしれない。このメタ情報は改ざんを防ぐためブロックチェーン上で管理される。
この仕組みを利用して価値が高まってきているものの一つがVRアートだ
物理的な絵画と異なり、デジタルデータは容易に丸ごとコピーができるため、これまであまり価値が上がらなかった。しかし、NFTによりオリジナルであることの証明ができるため、「アートを保持する」ということが可能となった。
NFTによりオリジナルの証明がされていても、アートそのものがコピー可能であることは代わりないので、アートの保持自体の意味合いはあまりないと思うけど、NFTは売買が可能なので、アートを資産として保持し価値があがったら売却する といったことが可能なのかなと思う。
NFTの特徴には以下3つが挙げられる
相互運用性
NFTの仕様が共通規格によって定められているため、特定のプラットフォームだけでなく、他のプラットフォームでも有効となるらしい。たとえばポケモンGOでゲットしたレアポケモンはいまのところポケGOでしか価値がないけど、NFTによって証明され、他のプラットフォームでも取り扱うようになれば、たとえばドラクエでそのレアポケモンをつかって戦ったりできる みたいなことかな?
共通規格は、たとえばイーサリアムだとERC721が該当する。
ERCとはEthereum Request for Commentsのことで、イーサリアムのスマートコントラクト内でNFTを扱うことを可能とするものである。NFTの最初の活用事例としてよくあがるCryptokittiesというゲームや上述のせきぐちあいみさんのアートが取引されたOpenseaという取引所もERC721に準拠しているようなので、いまのところこの規格が一番事例があるようだ。
ここで議論されている
github.com
取引可能性
相互運用できるので他プラットフォームで取引もできる。Openseaで購入したアートを他の取引所に出品するときも、変わらずNFTで価値が証明される、ということかな。
プログラマビリティ
急にちょっと理解が苦しい内容だが、NFTには様々な付加機能をデータそのものに持たせられるらしい。例として、たとえばNFTの取引の都度アート作者に取引手数料が入るような処理を組み込むことができる、らしい。アートとかゲームの分野だとユースケースのイメージがあまりわかないが、例えば不動産の管理をNFTで実施するとき、オーナーの譲渡により発生する税金や手数料などを自動で処理する、といったことを想定しているのかもしれない。
参考 : 突然話題になったデジタル資産「NFT」とは何か--暗号資産との違いや注意点は - CNET Japan
ひとまず、Tiltbrushでなにか描けたら、勉強がてらOpenseaに出品してみようと思う。
このブログについて(再)
ケンタロウです。
前の更新が2018-06-18だというのは自分としても感慨深いのですが
僕は2018年7月に転職をしまして、任期付で行政のデジタルトランスフォーメーションの仕事をしていました。
民間から行政へ、ITベンダーからユーザ企業へ(行政だから企業じゃないけど)、さらに地方から東京へ
我ながらよくこんな全然違う環境に飛び込んだなと思いますが
僕の職業人生の中で間違いなく転機になりました。
去年公務員試験をうけまして、この春からは正規の職員として行政組織で働いています。
僕はもともとインフラ構築、認証基盤、セキュリティなどの仕事をしてましたが、行政では主に行政手続電子化の仕事をしてました。
その中でアジャイル型の開発プロセスにいろいろ試行錯誤しながら取り組みました。
興味のある技術分野は変わらずアイデンティティ関連、セキュリティ関連なんですが
プロダクトマネージメント関連のこと、あと行政デジタル化関係のことも
勉強したことはこのブログにアウトプットしていこうと思います。最近はマイナンバー制度を勉強しています。
転職以降、とにかく日々精一杯でなにか自主的に学んだことをアウトプットする精神的な余裕はゼロだったのですが
やっとこのブログに戻れる余裕ができてきましたw
また、ぼちぼちと書いていこうと思います
デジタル・トランスフォーメーションとは
最近デジタル・トランスフォーメーション(DX)に思いをはせている
今年(もっと前?)のバズワードなんだろうと思う
DXという言葉は 「何ができたらDXなのか」がわからない。
なんとなく
・このごろはやりのIoT、AI、データサイエンス、RPA、なんかを使って
・これまでのビジネスを抜本的に見直すような変容
かつ
・ウォーターフォールの開発じゃなくアジャイルで小さなものから作って拡大していく
・既存の組織ではなく全社横断組織を立ち上げて取り組む
あたりがキーワードとしてくっついてくる気がする
変容として思い出すのは
NRI崎村さん(アイデンティティ分野の第一人者で尊敬するIDProです)が以前ID&ITでされていた明治政府の話がある
うろ覚えで恐縮だが
・開国し外国文化に触れた日本は、外国の憲法や技術を日本式にアレンジし社会のあり方から変えた = 変法
・同じく外国文化に触れた中国は、既存の体制を維持したまま外国の技術をそのまま取り入れた = 西用
結果日本は近代化に成功し、中国はそれが遅れた。
これがデジタルの世界でも起きていて
新しいITツールをそのまま取り入れているだけでは「西用」にしかならない
ITツールを活用して抜本的に「デジタル変容」せねばならない
たとえば紙のデータを電子化するにあたりPDFにしただけでは西用、
システムで処理できるようにテキストやJSONとかにしたらデジタル変容
これ2015年ころ伺った話だと思うけど
根本的にはその発想が今のDXなのかなぁと思う
ただ、いまどきのITツールや開発手法を活用してビジネスを発展させよう!てのは
いたって普通のことでこれまでもやってきたわけで
ビジネスフローまで変わるような変容がDXなのか・・んー?
この記事、DXがバズワード化しているとか、
DXの指標の大半は目新しいものではないという点はすごく同意なのだが
DXの例としてあがっているものが いまいち 「これがDXか・・?」と腹落ちしなかったのだが
そんなにたいそうなものや革新的なシステムである必要性はなく
既存のビジネスフローを変容させた点は確かにDXなのか・・うーむ
FIDO2とWebAuthnについて
この記事が気になった。
そもそもFIDO2ってなんだ?
上記から拝借した図によると
もともとFIDOと呼んでいたのは図の「FIDO AUTHENTIACTION」の部分で
FIDOクライアントとFIDOサーバ間の認証メッセージを標準化したものという理解だが
FIDO2は、W3CのWeb認証仕様(WebAuthn)とFIDOの対応するClient-Authenticator Protocol(CTAP)で構成されており、共通のデバイスを利用してモバイル環境とデスクトップ環境の両方でオンラインサービスを簡単に認証できます。
FIDO2はWebAuthnとCTAPのことであり
WebAuthn→ WebブラウザーがJavaScriptを用いて秘密鍵にアクセスするためのAPI
CTAP→ クライアントと外部認証器間の通信をサポートする認証プロトコル
(こちらを参照しました)
ということなので、
WebAuthnでブラウザがFIDO認証するのを簡単にし
CTAPでFIDO認証器として動作する機器のプロトコルを標準化することで
FIDOの利用拡大を狙ったもの →FIDO2 という感じかな?
で、冒頭の記事では
ということらしい。
World Wide Web Consortium(ワールド・ワイド・ウェブ・コンソーシアム)は、World Wide Webで使用される各種技術の標準化を推進する為に設立された標準化団体、非営利団体。略称はW3C(ダブリュースリーシー)。
そしてW3Cが標準として批准するには段階があり
- 作業草稿 (Working Draft, WD)
- 勧告候補 (Candidate Recommendation, CR)
- 勧告案 (Proposed Recommendation, PR)
- W3C勧告
となるらしい。勧告候補になったくらいで正直ニュースになるほどなのかいまいちそのへんの感覚はわからないが
それよりもGoogle、Mozilla、マイクロソフトが各々のブラウザに実装すると表明したことが大きい気はする。(ちなみにアップルは表明してない)
でも、確かにこれでWebサービスで気軽にFIDO認証を取り入れられるようになったら、パスワードからの解放に確かに一歩近づく。
パスワード運用にあたって、複雑性や定期変更の良し悪しなどが最近話題にあがるがそもそもユーザに負担を強いる仕組みは技術で改善すべきだと自分は思う。
簡単なパスワードを付けたりいろいろなサイトでパスワードを使いまわしてしまい、結果事故にあったとして、それはパスワードに対する意識が低いのが悪いのでありユーザが悪い、というのはおかしい。
ユーザがストレスなくサインインでき、かつセキュアで間違いなく本人しかログインできない認証の仕組みに変えていかないといけないし、FIDOはそれに一番近いのではと思う。
秘密の質問について
前回パスワードの定期変更についてという記事を書いた
もう一つ気になっているのが秘密の質問である。
事前登録した質問にいくつか正解すると、パスワード初期化画面に遷移できるといったものだ。僕の構築した認証基盤にも実装されている。
パスワードについては何文字以上だの変更頻度だの強度について議論がされるのに秘密の質問の強度はあまり議論されない(気がする)。
しかしこれを突破するとパスワードが漏洩したのと当然同じことになる。
しかも秘密の質問はソーシャルハッキングが可能だ。
大体「母親の旧姓」や「ペットの名前」などがよくある質問項目だがSNSなどの公開情報から推測できるものもあるだろう。
ただ、秘密の質問も数年前はお勧めのオプションだったのだ。
僕は「セルフヘルプ」の目的でこの機能を実装した。
認証基盤の運用をしていると、驚くほどパスワードがわからなくなる人は多い。そういう時は管理者が本人確認した上で初期化したりするが、その負荷を軽減するために、自分自身でパスワード初期化できるのがこの秘密の質問方式なのだ。
なぜ秘密の質問もやめるべきか、整理したい。
- NIST Special Publication 800-63B
openid-foundation-japan.github.io
前回同様、まずNISTガイドラインの記述を見る。
ガイドラインの概略や記法(SHALLとか)は前回記事を参照いただきたい。
ここに以下記述がある。
記憶シークレットを選択する際、検証主体は加入者に対して特別なタイプの情報(例えば、あなたの最初のペットの名前はなんですか?といったもの)の入力を求めないものとする(SHALL)。
SHALLなので「厳密に従うことを要求しており、内容と異なってはならない。」だ。
もう絶対やめろと言っているのだ。(しないものとするだからSHALL NOTのような気もするが)
- いつから絶対やめろになった?
SHALL NOTになったのは今回の改訂からである。
NIST SP 800-63は初版は2006年4月に発行され、以降NIST SP 800-63-1、NIST SP 800-63-2 とバージョンアップされ今回NIST SP 800-63-3として3回目のバージョンアップがされた。
各バージョンの簡単な変更履歴は 2.2. 変更履歴 にある
openid-foundation-japan.github.io
この 2.2.3. SP 800-63-3 に以下記述がある。
- Pre-registered Knowledge Token (Authenticator) は (往々にして弱い) パスワードの特別な形態であるという認識のもと, Pre-registered Knowledge Token を関する記述の削除.
このガイドライン上では
pre-registered knowledge tokens = 事前登録された知識トークン = 秘密の質問 である。よって秘密の質問は今回から禁止となっている。
なおSP 800-63-1 の変更履歴には
従来の Token タイプに対する専門用語の変更や, Pre-registered Knowledge Token や Look-up Secret Token, Out-of-band Token 等のより多種多様な Token タイプへの言及.
とあるので、おそらくSP 800-63-1からTokenとしてpre-registered knowledge tokensが定義されたのだろう。
しかし NIST 800‐63‐1 Overview によれば
Knowledge Based Authentication is not
recognized, due to risk of targeted research
attacks
– Pre‐registered knowledge tokens (e.g., “Name of
first pet?”) permitted at Levels 1 and 2 only
とあるため、禁止ではないもののリスクがあるとこの時既に警告はされていたようだ。
ちなみに「Level1または2での利用にとどめよ」とあるが
このLevelはAuthenticator Assurance Level(AAL)のこと・・と思われる。
AALとはざっくりいうと認証の強度のレベルで、
Level1が単一要素認証OK
Level2が2要素認証だがソフトウェアトークンを含めてOK
Level3は2要素認証かつハードウェアトークン必須
という感じだ。(かなり簡素な説明なので注意。)
- 秘密の質問が危険である理由
SP 800-63Bのリファレンスの情報をちらちらとみてはみたものの秘密の質問廃止に関わるエビデンスは見つけられなかった。
かわりに以下の記事を見つけた。
2015年5月と古いが、Googleのセキュリティブログ記事である。
Googleで秘密の質問を解析し、利用すべきでないと結論づけた論文のサマリだ。
そのサマリのブログを要約すると以下。
| 調査者 | |
|---|---|
| 調査対象 | Googleで数百万回のアカウント復旧の申し立てに使用されていた何百万もの秘密の質問と回答 |
| 発表 | www2015(http://www.www2015.it)にて発表 |
調査結果
| 英語を話すユーザの「あなたの好きな食べ物は何ですか?」の答えは1回の試行で19.7%当たった。(ちなみにピザ) |
| アラビア語を話すユーザの「最初の先生の名前は何ですか?」の答えは10回の試行で24%当たった。 |
| スペイン語を話すユーザの「あなたの父親のミドルネームは何ですか?」の答えは10回の試行で21%当たった。 |
| 韓国語を話すユーザの「あなたの出身都市は何ですか?」の答えは10回の試行で39%当たった。 |
| 韓国語を話すユーザの「好きな食べ物は?」の答えは10回の試行で43%当たった。 |
| 37%のユーザはあえて質問内容を無視し、共通の間違った回答を登録していた。 |
| 英語を話すユーザの40%は秘密の質問に回答できなかった。ただしそれらのユーザはSMSやe-mailによるリセットコードを75~80%返すことができた。 |
| 「あなたの図書館カード番号は何ですか?」は22%しか回答できなかった。 |
| 「あなたのマイレージ番号は何ですか?」は9%しか回答できなかった。 |
| 英語を話すユーザの「あなたの父親のミドルネームは何ですか?」は76%回答できるが、「あなたの最初の電話番号は何ですか?」は55%しか回答できない。 |
| ①「あなたはどの都市に生まれましたか」は79%回答できる。攻撃者が10回試行しても6.9%しか当たらない。 |
| ②「あなたの父親のミドルネームは何ですか?」は74%回答できる。攻撃者が10回試行しても14.6%しか当たらない。 |
| ③①②の両方に答えないといけないとき、攻撃者は10回試行して1%しか当たらないが、ユーザも59%しか回答できない。 |
と、いうことが上のカフェメニューのような資料にかかれている。
- まとめ
上記の結果から
✔ ユーザが答えやすい質問では少ない試行で攻撃者に当てられてしまう可能性がある。
✔ ユーザが秘密の質問に回答できる確率はそもそもあまり高くなく、全ての質問に同じ回答をいれておくなど脆弱な設定にしているユーザもいる。
✔ ユーザが答えやすい質問を複数文答えさせる場合、ユーザが回答できる確率も下がる。
ということが言えるだろう。
なので、難しい質問を複数文答えさせるなどの運用だとそもそもユーザは回答できず、ユーザが回答できるレベルまで落とした運用にすると容易に推測できるリスクが高まってしまう。
なのでもうやめましょうということだろう。
まぁそもそも、パスワードを忘れたから秘密の質問で代替するというのもいずれもSometing you know(あなたが知っていること)であり認証的には単一要素だ。
Googleが言うようにSMSやe-mailでリセットコードを受け取る方式や、ワンタイムパスワードなどパスワードとは違う要素で認証できるのが良いのは間違いない。
ただ、秘密の質問方式は非常に導入が簡単なのである。
秘密の質問に代わるパスワード初期化方式はこれからじっくり考えたい。
(そもそもパスワードもなくせると・・・)
パスワードの定期変更について
パスワードの定期変更をやめるべき理由を整理したい。
僕は数年前にとある企業ネットワーク内の認証基盤を構築した。
その時僕が設計したIDのパスワード運用は、定期変更を促す機能が実装されている。
その時は推奨される対策だったのだ。
いまやそのIDは様々なシステムに連携され非常に重要なものになっている。
そして認証情報を狙うサイバー攻撃は日々変化しており、パスワードの運用も時代にあわせ見直していくことが必要なのだ。
定期変更はもうするべきではない。
最近たまたまステークホルダーと雑談していてその話題となり、定期変更はやめるべきと進言した。人は定期変更を促すと安易なパスワードや他と同じパスワードをつける傾向があり、辞書攻撃やリスト型攻撃には逆に脆弱になるというのが僕の理解だ。
しかしそのステークホルダーは説得できなかった。
僕の説明も悪かっただろう。しかし、たぶん一番この話が理解されない原因は、定期変更自体は決して悪いことではないからだ。意識高く、毎回複雑なパスワードを設定していればそれはとても良いことだ。
なぜ定期変更をやめるべきか。
- NIST Special Publication 800-63B
openid-foundation-japan.github.io
去年から定期変更の議論が活発になったのはこの文書が出たからだろう。
NIST(アメリカ国立標準技術研究所)という、アメリカ合衆国商務省配下の技術部門が公開したDigital Authenticationに関するガイドラインだ。
リンクは、それを日本のOpenIDFoundationが翻訳したものだ。
この
5. 認証器及び検証主体の要求事項
5.1. 認証器タイプ毎の要求事項
5.1.1. 記憶シークレット
に
「検証主体は、認証器が侵害されている、または加入者が変更要求を行った証拠がない限りは、記憶シークレットを任意で(例えば、定期的に)変更するよう要求すべきではない(SHOULD NOT)。」
という記述が入っている。
この末尾にSHOULD NOTとかSHALLとかついてるのはこのガイドライン独特の記法で以下のような意味だ。
| SHALL(するものとする)/SHALL NOT(しないものとする) | 刊行物に厳密に従うことを要求しており、内容と異なってはならない。 |
| SHOULD(すべきである)/SHOULD NOT(すべきではない) | いくつかある選択肢の中で特定の推奨があることを示しており、他の選択肢については言及も除外もしない。ある行動指針を推奨するが、必須であることまでは要求しない。(否定の意味では)ある選択肢または行動指針を非推奨するが、禁止はしない。 |
| MAY(してもよい)/NEED NOT(しなくてよい) | 刊行物の範囲において、行動指針が許容できることを示す。 |
| CAN(できる)/CANNOT(できない) | 可能性や、能力があることを示す。その対象が物理的か一時的かにはかかわらない。 |
定期変更の要求はSHOULD NOTなので、禁止ではないが非推奨だ。
その根拠はなにか。
- 米ノースカロライナ大学の研究
https://www.cs.unc.edu/~reiter/papers/2010/CCS.pdf
これ・・が根拠になった論文のようだがちょっとこのまま読むのはつらいので要約したブログがこれだ。
まとめると以下のとおり。
確かに本気で標的にされたら、パスワードを定期的に変更しても追随してパスワードクラックができる可能性が高いのはわかった。
でも定期変更を積極的にやめる理由にはなっていない気がする。
定期変更の効果はさほどないというだけだ。
ただ、記事の下のほうに以下記述があった。
パスワードを変更する必要があることを知っているユーザーは、強力なパスワードを選択しないで、パスワードを書き留める可能性が高いことを示す証拠があります。研究私はカーネギーメロン大学の同僚や学生との働いていた(リンクは外部にあります)、CMUの学生、教職員、およびCMUのパスワードポリシーに煩わしさを感じたスタッフが、煩わしさを報告しなかった人よりも弱いパスワードの選択に終わったことがわかりました。私はこれに関連することができます:ログインしようとしているときに突然パスワードを変更するように求められたときに、強力なパスワードを思いつくために多くの努力を払うつもりはありません。パスワード期限切れポリシーがユーザーの行動に与える影響を実証した管理調査はまだありませんが、これらのポリシーは逆効果である可能性があります。
・・・実証されてないんかい!
と突っ込みつつ、、調査報告はpdfがついていた
ちなみに昨年10月頃MicrosoftのOfficce365管理センターでもパスワードは無期限の設定を推奨する旨の文言がでており、その根拠としてマイクロソフトも
というガイドラインをあげているのだが、エビデンスはこのブログと、上述の調査報告pdfだった。
マイクロソフトもこれを根拠にしているのではしょうがない。
調査報告pdfの一部を読み取った要旨が以下。
正直全然読み取れなかったので、とりあえず研究-複数のパスワード という章をまとめた。誰か要約してほしい・・!
調べてはみたものの積極的に定期変更をやめる明確な理由はよくわからなかった。
定期変更によりユーザは安易なパスワードをつけがちという明確な実証結果がまだないので、NISTとしても「推奨しない(SHOULD NOT)」にとどめているのだろうか。
冒頭のステークホルダーを説得できる気はまだしないので引き続き調査したい。
