内部不正や犯罪をさせない、許さないための個人対策：萩原栄幸の情報セキュリティ相談室（1/3 ページ）

情報セキュリティの中でも事前対策や事後対応が特に難しいのが、「内部不正」や「内部犯罪」である。前回は組織の面からお伝えしたが、今回は個人という切り口で実効力のある防止方法をお伝えする。

[萩原栄幸，ITmedia]

　筆者のもとには、「セキュリティのためのシステムやソフトを導入しても効果を実感できない」という類の相談が寄せられる。多くの企業が見落としている点について、前回は「組織」の観点から解説したが、今回はその中で「個人」を切り口に解説したい。

最も基本的なパスワード管理

　情報セキュリティの中で従業員一人一人が最も身近に感じるのは、「パスワード」である。企業内部だけでもOA端末でのログインから管理者用人事システムのパスワード、一部関係者のみしかアクセスできない業務システムのパスワード、サーバルームに入るためのドア認証でのパスワード、個人ロッカーの開錠用パスワードなど、実に様々なものがある。

　こうしたパスワードの中で、個人の責任で変更・管理できるものについては、次の注意が必要となる。

1. 企業で指定された「○カ月ごとに変更すること」という間隔よりも短い間隔で変更する
2. パスワード入力時に必ず周辺に人がいないことを確認してから入力する
3. 周辺に人がいる場合は入力した“フリ”をする（キーに触るだけで実際には入力していない）。桁を設けて全体の入力をごまかす。（例えば3桁目と6桁目は入力した「フリ」をして、後から実際に入力をする）
4. パスワードの強度は常に最大限にする。最大の桁数や複数種類を混在させて意味のない文字列にする。ただし、複数のパスワードを必要とする場合は工夫して差分を覚えておくとよい

（例）

原本パスワード「4b%Ah5&B」

OA用：差分・11111111……「5©&Bi6(C」

業務用その1：12345678……「5d)Em1?J」

業務用その2：13131313……「5e&Di8(E」

　当然ながら、パスワードの原本は自宅で管理（会社内に置かない）しておく。また、システムによって使えない特殊文字もあるので、自分用の変換テーブルを用意しておくといいだろう。

（例）

「＃％＆（）＝−＜＞　？・\」