ANAの「Webパスワード」導入で思ったこと。

全日本空輸(以下、ANA)から「Webパスワード」の導入に関する発表がありました。

これは、今まで数字4桁だったログインパスワード（と呼べる強度かどうかは別にして）から

任意の英文字（大小）と数字で構成する8桁以上16桁以下のパスワード

を設定できるようになるというものです。
実施開始予定は

2014年9月4日（木）午前 5:00（日本時間）より

とのことで

2014年12月3日まで

は案内、移行期間として

2014年12月4日以降

はこのポリシーの「Webパスワード」のみの利用に切り替わる予定だそうです。

設定できるパスワードと認証方法に関してはまだまだ万全というわけではなく

・使用できる文字種に「記号」を使えるようにする。
・設定可能な文字数を長くする。
・二要素（段階）認証を設定可能にする

など個人的には、改善の余地のあるものだと思います。

しかし、元々が数字4桁のみと脆弱極まりないと言えるものだったということもあるにはあるのですが
今回の「Webパスワードの導入」は大きな進歩だとも言えると思います。

ANAは、2014年3月11日、「ANAマイレージクラブ」のWebサイトに不正ログインがあり、
顧客9人のマイレージ・112万マイル（現金に換算すると、最大で65万円分）が「iTunesギフトコード」に不正に交換されていたこと発表しています。

この事実から以下のように考えることもできるのではないでしょうか。

65万円分の補填を行うことと、今まで数字4桁で構築してきたシステムを「Webパスワード」を設定できるように変更するコストを天秤にかけた場合、補填したほうが安い。（金銭的な）費用対効果を考えれば、決して誠意ある対応とは言えませんが、システムの変更を行わず、都度、補填を行うという選択をするという可能性も大いにあったのではないかと思います。

その中で改善点はまだまだあるものの
今回の選択をしたということは評価すべきことなのではないかと思います。

昨今、色々なところでセキュリティ事故が発生しています。
Web改ざん、不正ログイン、情報漏洩、サービス停止などなど。

もちろん、事故が起こるということは何かしらの不備があるからです。
それは、マイナスの評価をされて然るべきことだと思うのですが
その事故に対してどのような対応を取ったのかということは、事故を起こした事と別に評価すべきものではないかと思っています。

不正ログイン事故が発生した場合も可能な限りユーザに情報開示を行ったサービスと
そうではないサービスとでは違った評価がされるべきだと思っています。
前者は、きちんとプラスの評価をユーザもすべきだと思います。
その評価（マイナスだけではなくプラスの評価も）をTwitterなどでつぶやいてみることもいいと思います。地道かもしれませんが、そうした個々人のアクションがサービス提供側に伝わっていききちんと対応すれば、きちんと評価されるんだという空気が広がって良いサイクルが生まれていけばいいなって思います。

人は、誰でも誉められることは悪い気はせず嬉しいものだと思います。
そうすると「これでいいんだ。よかった。もっと頑張ろう」って思えるものだと思うんですよね。

今回のANAの対応を見て、ボクは「よくやってくれた！」と思いました。
今後、更なるレベルの向上も行ってくれることも期待したいと思います。

そして、今回のANAの対応を受けて
他のサービス提供サイトのセキュリティレベルの向上があると嬉しいと思います。